Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücke: Angreifer können…

PDF - kein reines Darstellungsformat ...

  1. Thema

Neues Thema Ansicht wechseln


  1. PDF - kein reines Darstellungsformat ...

    Autor: trashbubble 30.09.19 - 14:31

    ... weil man wieder einmal mehr wollte als die Polizei erlauben sollte!

    Kontrollstrukturen gehören in kein sicheres Dokumentenformat, schon dreimal nicht für schutzbedürftige Inhalte, sondern nur in die Bearbeitungssoftware dafür.

    Sonst könnten wir auch gleich wieder fleissig Word mit VBA-Scripten rumreichen ... und das Schlangenöl darüber urteilen lassen, ob das gefährlich sei oder nicht ... :P

  2. Re: PDF - kein reines Darstellungsformat ...

    Autor: violator 30.09.19 - 15:40

    Wie würdest du denn interaktive Dateien erstellen, z.B. Formulare etc., die man verschicken will?

  3. Re: PDF - kein reines Darstellungsformat ...

    Autor: FreiGeistler 30.09.19 - 17:18

    violator schrieb:
    --------------------------------------------------------------------------------
    > Wie würdest du denn interaktive Dateien erstellen, z.B. Formulare etc., die
    > man verschicken will?

    mhtml.
    Kann dabei auch wahlweise mit Serverdiensten zwecks Zertifikaten kommunizieren.

    Komm mir nicht mit Word/Excel. Da reicht unzippen, ein sed-Befehl ausführen und wieder zippen, um "geschützte" Formulare/Tabellen zu entsperren.

  4. Re: PDF - kein reines Darstellungsformat ...

    Autor: trashbubble 30.09.19 - 17:24

    Für schutzbedürftige Informationen? Na gar nicht!

    Denn gerade die Möglichkeit für den interaktiven Kram wird ausgenutzt werden, wir wissen das von VBA-Macros, von Flash, von Javascript, von ActiveX, von Silverlight und nun auch von PDF (bzw. Foxit und der AcrobatReader haben schon länger nen *sicheren* Modus), dass das voll nach hinten los geht. Bzw. wie viel Evidenzien braucht es denn noch, dass das grundsätzlich keine gute Idee zu sein scheint?!?

    Wer so etwas zulässt, überhaupt in den Standard aufnimmt, oder gar verwendet, der legt imho einen riesengroßen übel duftenden Haufen auf die Sicherheit und den Schutz von Dokumenteninhalten.

    Felder die man befüllen kann reichen völlig aus, irgendetwas damit rechnen und Fallunterscheiden kann der, der das Dokument empfängt genauso gut. Und wenn ich Dokumente aufteilen muss um den Workflow anhand eines Feldes oder der Kombinationen mehrerer Felder aufzuteilen, geht das ohne Clientscripts auch wunderbar auf dem Server.(<-Punkt)



    1 mal bearbeitet, zuletzt am 30.09.19 17:26 durch trashbubble.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Impactory GmbH, Darmstadt (Home-Office)
  2. Landkreis Märkisch-Oderland, Seelow
  3. LOTTO Hessen GmbH, Wiesbaden
  4. GELSENWASSER AG, Gelsenkirchen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-70%) 5,99€
  2. (-78%) 2,20€
  3. 69,99€ (Release am 25. Oktober)
  4. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

  1. Proteste in Hongkong: Hochrangige US-Politiker schreiben an Activision und Apple
    Proteste in Hongkong
    Hochrangige US-Politiker schreiben an Activision und Apple

    Alexandria Ocasio-Cortez, Marco Rubio und weitere Politiker der großen US-Parteien haben offene Briefe an die Chefs von Activision Blizzard und Apple geschrieben. Sie fordern darin, dass die Firmen nicht mehr die chinesische Regierung in deren Kampf gegen die Proteste in Hongkong unterstützen.

  2. Wing Aviation: Kommerzielle Warenlieferung per Drohne in USA gestartet
    Wing Aviation
    Kommerzielle Warenlieferung per Drohne in USA gestartet

    In den USA hat das zu Alphabet gehörende Unternehmen Wing Aviation die ersten Bestellungen per Drohne an Kunden ausgeliefert - unter anderem Schnupfenmittelchen.

  3. Office und Windows: Microsoft klagt gegen Software-Billiganbieter Lizengo
    Office und Windows
    Microsoft klagt gegen Software-Billiganbieter Lizengo

    Auffallend günstige Keys für Office 365 und Windows 10 bei Anbietern wie Edeka sind möglicherweise nicht legal. Nun geht Microsoft gegen Lizengo vor, einen der größten Anbieter solcher Software.


  1. 14:43

  2. 13:45

  3. 12:49

  4. 11:35

  5. 18:18

  6. 18:00

  7. 17:26

  8. 17:07