1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Safari: URL-Spoofing per Javascript

Nicht Kryptografie

  1. Thema

Neues Thema Ansicht wechseln


  1. Nicht Kryptografie

    Autor: Pumpy 19.05.15 - 17:22

    Logisch gesehen wird hier wohl Safari KAUM an der "kryptographischen Berechnung" hängen bleiben. In 10ms kann wohl jeder mittelklasse Rechner Math.random() mehrere hundert mal ausführen. Vielmehr wird das Netzwerk überlastet indem alle 10ms eine Anfrage an die angegebene Adresse abgefeuert wird. Durch das Math.random() wird nur dafür gesorgt, dass der Aufruf nicht aus dem Cache kommt, dadurch wird ein sofortiger Seitenwechsel verhindert.

    Safari stellt wohl die Lokation dar, bevor die Seite gerendert wird. Ein Fix hierfür sollte möglichst schnell bereitgestellt werden können.

  2. Re: Nicht Kryptografie

    Autor: jt (Golem.de) 19.05.15 - 18:07

    Vielen Dank für den Hinweis. Der Text ist entsprechend angepasst.

  3. Re: Nicht Kryptografie

    Autor: Anonymer Nutzer 20.05.15 - 08:51

    jt (Golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Vielen Dank für den Hinweis. Der Text ist entsprechend angepasst.

    Vielleicht könntet Ihr den Textnochmal anpassen ... denn es wird immernoch nicht wirklich klar, was passiert. Und der falsche Hinweis bezüglich "Kryptografie" ist immernoch im Text enthalten.

  4. Re: Nicht Kryptografie

    Autor: Ext3h 20.05.15 - 11:13

    jt (Golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Vielen Dank für den Hinweis. Der Text ist entsprechend angepasst.

    Stimmt inhaltlich übrigens immer noch nicht.

    Der Fehler ist schlichtweg, dass Safari die Adresszeile zu früh aktualisiert. Alle anderen Browser warten bis die aktuelle Seite "beendet" wurde, insofern als dass zu mindestens die JS-Ausführung gestoppt und wenn möglich bereits die Header der neuen Seite geladen wurden. Erst wenn bekannt ist ob die neue Seite tatsächlich angezeigt werden wird, wird auch die Adressleiste angepasst.

    Der Safari hingegen versucht die Adresszeile sofort zu aktualisieren während die JS-Umgebung der aktuellen Seite noch nicht gestoppt wurde, und auch noch nicht sicher ist ob die nächste Seite überhaupt erreichbar wäre.

    Die 10ms sind übrigens einfach nur schnell genug um einen Network-Roundtrip zum Server zu verhindern. Sprich in den 10ms "sollte" der Server nicht in der Lage sein den vollständigen http-Header zu schicken. Bei einer Standleitung mit <10ms Roundtrip-Zeit zu www.dailymail.co.uk funktioniert damit auch das Beispiel logischerweise nicht mehr.

    Flackern tuts auf dem iPad lediglich wegen dem Redraw Event der Adresszeile. Auf dem Desktop ist der Safari einfach nur schnell genug dass man das nicht mehr sieht.



    1 mal bearbeitet, zuletzt am 20.05.15 11:14 durch Ext3h.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Allianz Deutschland AG, Stuttgart
  2. Deutsche Nationalbibliothek, Frankfurt am Main
  3. Dr. August Oetker Nahrungsmittel KG, Bielefeld
  4. Concordia Versicherungsgesellschaft a.G., Hannover

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 28,75€ + Versand oder kostenlose Marktabholung (Vergleichspreis 45,85€ + Versand)
  2. 44,90€ + Versand (Vergleichspreis ca. 61€ inkl. Versand)
  3. (u. a. Sony KD-55A89 Bravia OLED TV 55 Zoll für 1.299€, Samsung Galaxy A20e 32GB 5,8 Zoll für...
  4. (u. a. Medion-Notebooks, Samsung-SSDs, 4K-Beamer und vieles mehr zu Bestpreisen)


Haben wir etwas übersehen?

E-Mail an news@golem.de