Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücke: Caches von CDN…

Wo ist nun die Sicherheitslücke...

  1. Thema

Neues Thema Ansicht wechseln


  1. Wo ist nun die Sicherheitslücke...

    Autor: Anonymer Nutzer 27.07.17 - 19:47

    ...in den Caches der CDN Anbieter?

    Aber nichts neues bei Artikeln des Autors...

  2. Re: Wo ist nun die Sicherheitslücke...

    Autor: Anonymer Nutzer 27.07.17 - 20:01

    die erste annahme ist:
    https://www.example.com/account/invalid.css und https://www.example.com/account/ liefern das gleiche ergebnis, da die webanwendung am server nicht zwischen den urls unterscheidet, obwohl sie es tun sollte.

    zweite annahme:
    der angreifer verleitet das opfer statt https://www.example.com/account https://www.example.com/account/invalid.css aufzurufen.

    dritte annahme:
    es wird unter https://www.example.com/account/invalid.css der inhalt von https://www.example.com/account/ gecacht. zb information über den account.

    vierte annahme:
    der angreifer ruft jetzt https://www.example.com/account/invalid.css auf und bekommt diese daten geliefert.

    jetzt klar?

  3. Re: Wo ist nun die Sicherheitslücke...

    Autor: Anonymer Nutzer 27.07.17 - 20:05

    Artikel:
    Sicherheitslücke: Caches von CDN-Netzwerken führen zu Datenleck

    Alles von dir beschriebene ist keine Sicherheitslücke in den Caches der CDN Netzwerke die tun genau das was sie sollen.

    Jetzt klar? ;-)

  4. Re: Wo ist nun die Sicherheitslücke...

    Autor: Anonymer Nutzer 27.07.17 - 20:22

    doch. sie cachen etwas, was nicht gecacht werden sollte.

    erzeugt eine webseite bei https://www.example.com/account/invalid.css statt css code html webseiten mit sensitiven daten, schreibt sie trotzdem die richtigen cache header. mittlerweile tun das alle frameworks richtig. die cdn ignorieren diese aber und cachen trotzdem.

  5. Re: Wo ist nun die Sicherheitslücke...

    Autor: Technik Schaf 27.07.17 - 20:38

    MysticaX schrieb:
    --------------------------------------------------------------------------------
    > Artikel:
    > Sicherheitslücke: Caches von CDN-Netzwerken führen zu Datenleck
    >
    > Alles von dir beschriebene ist keine Sicherheitslücke in den Caches der CDN
    > Netzwerke die tun genau das was sie sollen.
    >
    nein, sie tun nicht was sie tun sollen. Die Anforderung ist:
    > sei ein Zwischenspeicher für nicht individuelle Daten.
    Sie speichern aber auch sensible Daten. - > Aufgabe nicht erfüllt!

    nach deiner Logik gäbe es keine Sicherheits Lücken in Software. software acht immer das was sie soll, sprich: wie sie programmiert/konfiguriert ist. Sie ist deterministisch.
    der Fehler liegt so gesehen immer beim Programmierer.
    trotzdem spricht man von Sicherheitslücken in der Software.
    > Jetzt klar? ;-)
    jetzt klar?

  6. Re: Wo ist nun die Sicherheitslücke...

    Autor: Geddo2k 27.07.17 - 22:14

    grundsätzlich sollten die cdns den cache header respektieren das stimmt. aber auf der anderen seite definiere ich doch sehr genau was ins cdn kommt und was nicht und pfade in denen sicherheitsrelevante inhalte liegen haben im cdn nichts verloren bzw. nimmt man i.d.r. ja auch nur den pfad der öffentlichen assets mit ins cdn und verweigert alles andere.

  7. Re: Wo ist nun die Sicherheitslücke...

    Autor: Anonymer Nutzer 27.07.17 - 22:53

    Technik Schaf schrieb:
    --------------------------------------------------------------------------------
    > MysticaX schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Artikel:
    > > Sicherheitslücke: Caches von CDN-Netzwerken führen zu Datenleck
    > >
    > > Alles von dir beschriebene ist keine Sicherheitslücke in den Caches der
    > CDN
    > > Netzwerke die tun genau das was sie sollen.
    > >
    > nein, sie tun nicht was sie tun sollen. Die Anforderung ist:
    > > sei ein Zwischenspeicher für nicht individuelle Daten.
    > Sie speichern aber auch sensible Daten. - > Aufgabe nicht erfüllt!
    >
    > nach deiner Logik gäbe es keine Sicherheits Lücken in Software. software
    > acht immer das was sie soll, sprich: wie sie programmiert/konfiguriert ist.
    > Sie ist deterministisch.
    > der Fehler liegt so gesehen immer beim Programmierer.
    > trotzdem spricht man von Sicherheitslücken in der Software.
    > > Jetzt klar? ;-)
    > jetzt klar?

    Nö, es geht darum das der Titel suggeriert die Lücke wäre der Cache von den CDN's, die Lücke ist aber nicht dort, wenn der Server dahinter Sachen ausliefert die er nicht sollte, ist dort die Lücke nicht im Cache eines CDN.

  8. Re: Wo ist nun die Sicherheitslücke...

    Autor: Anonymer Nutzer 28.07.17 - 01:12

    siehe dazu mein posting noch mal. der server sagt dem cdn per header, dass es nicht gecacht werden soll. das cdn tut es trotzdem. das ist falsches verhalten der cdns. das es nicht _nur_ an den cdns liegt, ist wohl richtig. aber eben auch.

  9. Re: Wo ist nun die Sicherheitslücke...

    Autor: tbone 28.07.17 - 10:02

    MysticaX schrieb:
    --------------------------------------------------------------------------------
    > Nö, es geht darum das der Titel suggeriert die Lücke wäre der Cache von den
    > CDN's, die Lücke ist aber nicht dort, wenn der Server dahinter Sachen
    > ausliefert die er nicht sollte, ist dort die Lücke nicht im Cache eines
    > CDN.

    doch die Lücke ist zumindest teilweise im CDN, da dort Cache Header ignoriert werden und html gecached wird, nur weil die url mit css endet.

    der backend server kann vielleicht aus legacy gründen nicht einfach url enden unterbinden.

  10. Re: Wo ist nun die Sicherheitslücke...

    Autor: SCF 28.07.17 - 11:29

    Es ist eben eine Kombination aus beidem. Würde der Server die URL richtig prüfen wäre alles gut und es könnte nichts gecached werden, was nicht gecached werden sollte. Das CDN ist an der Stelle "dumm", Request kam für URL, Server gab Antwort, also wird für diesen Request diese Antwort gecached. Gut den Header prüfen wäre cool, aber wahrscheinlich machen die das eben nicht weil sonst das schöne Caching nicht so gut laufen würde, eventuell auch weil viele Seiten diese Header nicht korrekt setzen.
    Würde es das CDN dazwischen nicht geben würde der Angriff auch nicht funktionieren, es sei denn der Server bzw. die Server-Infrastruktur hat selber einen Cache mit genau dem gleichen problematischen Verhalten.

  11. Re: Wo ist nun die Sicherheitslücke...

    Autor: Anonymer Nutzer 28.07.17 - 12:17

    > Das CDN ist an der Stelle "dumm", Request kam für
    > URL, Server gab Antwort, also wird für diesen Request diese Antwort
    > gecached. Gut den Header prüfen wäre cool,
    nicht dumm und header prüfen ist nicht nur cool. das verhalten ist definitiv absolut falsch. da gibt's nichts zu rütteln oder anders zu interpretieren.

    > aber wahrscheinlich machen die
    > das eben nicht weil sonst das schöne Caching nicht so gut laufen würde,
    > eventuell auch weil viele Seiten diese Header nicht korrekt setzen.
    das verhalten ist komplett falsch. webseiten mit logins zu cachen ist fast immer ein fehler. ich kann die private webseite eines benutzers cachen, nur damit schön gecacht ist.

    > Würde es das CDN dazwischen nicht geben würde der Angriff auch nicht
    > funktionieren, es sei denn der Server bzw. die Server-Infrastruktur hat
    > selber einen Cache mit genau dem gleichen problematischen Verhalten.
    die meiste standardsoftware (z.b. varnish) ignoriert die header aber nicht (in den default einstellungen).

    das verhalten der cdns ist falsch. nur weil zwei seiten was falsch machen, heißt das nicht, dass das verhalten des einen deshalb plötzlich richtig wird.

  12. Re: Wo ist nun die Sicherheitslücke...

    Autor: schauma 28.07.17 - 17:22

    IMHO
    Die Sicherheitslücke liegt im Verhalten des Webservers. Er erstellt aus einer Session-abhängigen Information eine Session-unabhängige Information. Die Entscheidung was zwischen Nutzer und Server durch x-beliebige Systeme( auch CDN) gecacht wird, darf für die Sicherheit der Nutzer nicht relevant sein.

    Ein Seitenbetreiber kann ja nicht für alle Cachingdienste auf dem Weg garantie geben, dass diese richtig konfiguriert sind. Als Beispiel können wir hier Caching Proxies nehmen, die Firmen bei dem Aufbrechen von SSL -In manchen Branchen üblich- verwenden.

    Betrachten wir den Datenfluss ist auch klar, dass die Server-Response gecacht wird. Als das, was vom Server auf dem Rückweg gespeichert wird. Der Webserver kann also das Antworten auf nicht existente Dateien unterbinden.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Stuttgart, Esslingen
  2. eco Verband der Internetwirtschaft e.V., Köln
  3. OHB System AG, Bremen, Oberpfaffenhofen
  4. KÖNIGSTEINER AGENTUR GmbH, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 399€ (Vergleichspreis ab 467€)
  2. 149,90€ + Versand (im Preisvergleich ab 184,95€)
  3. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    IT: Frauen, die programmieren und Bier trinken
    IT
    Frauen, die programmieren und Bier trinken

    Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
    Von Maja Hoock

    1. Job-Porträt Die Cobol Cowboys auf wichtiger Mission
    2. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
    3. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"

    Drahtlos-Headsets im Test: Ohne Kabel spielt sich's angenehmer
    Drahtlos-Headsets im Test
    Ohne Kabel spielt sich's angenehmer

    Sie nerven und verdrehen sich in den Rollen unseres Stuhls: Kabel sind gerade bei Headsets eine Plage. Doch gibt es so viele Produkte, die darauf verzichten können. Wir testen das Alienware AW988, das Audeze Mobius, das Hyperx Cloud Flight und das Razer Nari Ultimate - und haben einen Favoriten.
    Ein Test von Oliver Nickel

    1. Sieben Bluetooth-Ohrstöpsel im Test Jabra zeigt Apple, was den Airpods fehlt
    2. Ticpods Free Airpods-Konkurrenten mit Touchbedienung kosten 80 Euro
    3. Bluetooth-Ohrstöpsel im Vergleichstest Apples Airpods lassen hören und staunen

    1. Nissan: Luxusmarke Infiniti plant Elektro-Crossover
      Nissan
      Luxusmarke Infiniti plant Elektro-Crossover

      Die Luxusmarke Infiniti baut Verbrennerfahrzeuge, ein vollelektrisches Auto gibt es von diesem Hersteller noch nicht. Angesichts der Pionierarbeit der Muttergesellschaft Nissan ist das verwunderlich. Nun wurden erste Bilder eines Elektro-Infinitis veröffentlicht.

    2. Kalifornien: Ab 2029 müssen Stadtbusse elektrisch fahren
      Kalifornien
      Ab 2029 müssen Stadtbusse elektrisch fahren

      Im US-Bundesstaat Kalifornien ist eine der härtesten Regelung des Westens im Hinblick auf Elektromobilität verabschiedet worden. Ab 2029 muss jeder neu zugelassene Stadtbus elektrisch fahren.

    3. Mainboard: Intels B365-Chip ist ein alter 22-nm-Bekannter
      Mainboard
      Intels B365-Chip ist ein alter 22-nm-Bekannter

      Mit dem B365 hat Intel einen weiteren Chipsatz für Sockel-LGA-1151-v2-Mainboards aufgelegt. Auch wenn der Name suggeriert, es sei der B360-Nachfolger, ist der Chip ein älteres 22-nm-Modell. So kann Intel seine 14-nm-Fabs für CPUs entlasten, denn 10 nm lässt weiter auf sich warten.


    1. 15:00

    2. 13:00

    3. 11:30

    4. 11:00

    5. 10:30

    6. 10:02

    7. 08:00

    8. 23:36