Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HEIST: Timing- und…

Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: mustermensch 04.08.16 - 10:38

    Die Frage hat sich mir beim lesen des Artikels zuerst gestellt.

    Was wohl gemeint ist: Das Javascript kann sich auf einer beliebigen ANDEREN Seite befinden, nicht auf der anzugreifenden.

    Also reicht es den User z.B. verleiten auf eine Pr0n-Seite zu klicken, die dann im Hintergrund Anfragen an dessen Homebanking-Seite schickt und mit Glück seinen Login dort stehlen kann sollte er zu dem Zeitpunkt dort auch eingeloggt sein.

  2. Re: Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: chefin 04.08.16 - 11:23

    Es reicht irgendwo ein Javascript einzuschleusen. Weil fast keine Seiten mehr ausschliesslich mit Zurgriff auf eine Domain funktionieren. Fast alle binden Werbung ein und die kommt von einer dritten Stelle.

    Potentiell unsichere Seite verwendet man anders als potentiell sichere. Wie zb deine Bankingseite. Die aber mehr als einen Server abfragt. Auch dort sind tracking und Werbeserver eingebunden die nicht unter der Kontrolle dr Bank stehen.

    Sicher ist es also nur, wenn die Seite ausschliesslich daten von einer Domain bezieht und du diese Domain sauber absicherst. Den Angriff könnte man auch unterbinden indem man ALLE Seiten die es gibt sauber absichert, so das Kriminelle nichts einschluesen können. Tja...und daran siehst du das diese Lücke anders geschlossen werden muss.

  3. Re: Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: LASERwalker 04.08.16 - 11:41

    Du hast das falsch gelesen. HTTP2 kann gleichzeitig mehrere Seiten vom GLEICHEM Server anfordern.

    Dabei werden aber beide Seiten zusammen komprimiert. Wenn nun der eingeschleuste Text (zB. dieser Text hier im Forum) eine Zeichenfolge mit dem geheimen Session-Cookie (zB. phorum_session_v5_dev) geheimsam hat, wird die Antwort durch die Komprimierung kleiner.

  4. Re: Wozu sollte man TLS brechen wollen wenn man schon Javascript eingeschleust hat?

    Autor: mustermensch 09.08.16 - 13:56

    LASERwalker schrieb:
    --------------------------------------------------------------------------------
    > Du hast das falsch gelesen. HTTP2 kann gleichzeitig mehrere Seiten vom
    > GLEICHEM Server anfordern.

    Nein habe ich nicht. Das mit Http2 ist eine weitere Variante des Angriffs (du benötigst dann keinen Parameter der reflektiert wird in der anzugreifenen Seite mehr, es reicht wenn irgendeine Seite auf dem Server dies hat).
    Das Angriff an sich funktioniert aber auch mit ganz normalem HTTP.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. medavis GmbH, Karlsruhe
  2. dSPACE GmbH, Paderborn
  3. Smartsteuer GmbH, Hannover
  4. adaptronic Prüftechnik GmbH, Wertheim-Reinhardshof

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Sony Alpha 6000 Bundle für 499€ und Lenovo C2 für 59€)
  2. 59,99€
  3. (heute u. a. mit Dremel-Artikeln, Roccat-Mäusen und Sony Alpha 6000 + Objektiv AF E 16-50 mm für...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Liberty Global: Giga-Standard Docsis 3.1 kommt im ersten Quartal 2018
    Liberty Global
    Giga-Standard Docsis 3.1 kommt im ersten Quartal 2018

    Der Giga-Standard kommt in wenigen Monaten zum Endkunden. Die Unitymedia-Mutter Liberty Global ist zufrieden mit den Vorbereitungen für den Rollout in allen Landesmärkten. Deutschland könnte bei Docsis 3.1 der erste sein.

  2. Apache-Sicherheitslücke: Optionsbleed bereits 2014 entdeckt und übersehen
    Apache-Sicherheitslücke
    Optionsbleed bereits 2014 entdeckt und übersehen

    Der Optionsbleed-Bug im Apache-Webserver wurde 2014 bereits in einem wissenschaftlichen Paper beschrieben. Allerdings hatte offenbar niemand bemerkt, dass es sich um eine kritische Sicherheitslücke handelt, obwohl kurz zuvor der ähnliche Heartbleed-Bug entdeckt worden war.

  3. Tianhe-2A: Zweitschnellster Supercomputer wird doppelt so flott
    Tianhe-2A
    Zweitschnellster Supercomputer wird doppelt so flott

    Aus dem Tianhe-2 wird der Tianhe-2A: China hat seinen Supercomputer aufgerüstet und damit gleich zwei Systeme mit mindestens 100 Petaflops. Neu sind vor allem die selbst entwickelten Matrix2000-GPDSPs statt Intels Xeon-Phi-Beschleuniger.


  1. 18:10

  2. 17:45

  3. 17:17

  4. 16:47

  5. 16:32

  6. 16:22

  7. 16:16

  8. 14:28