Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Social Networks: Trick zeigt Login…

Jeder Tab...

  1. Thema

Neues Thema Ansicht wechseln


  1. Jeder Tab...

    Autor: SoniX 20.02.12 - 13:13

    Jeder Tab und jedes Fenster sollte als eigener abgekapselter Prozess geführt werden. Nur dann hören solche Unsinnigkeiten endlich auf.

    Seite B geht es überhaupt nichts an was in Seite A geladen ist. Dann könnte man auch endlich Cookieprobleme und diverse andere Lücken vergessen.

  2. Re: Jeder Tab...

    Autor: azeu 20.02.12 - 13:19

    ist das bei Chrome nicht schon jetzt der Fall?

    PS: Bei mir funzt der Test nicht :)

    ... OVER ...

  3. Re: Jeder Tab...

    Autor: SoniX 20.02.12 - 13:49

    Hmm.. habe Chrome, aber wenn ich in einem Tab in zB Facebook angemeldet bin und in einen anderen Tab Facebook lade bin ich auch dort angemeldet.

    Ja, wenn man die Fenster (Tabs) wirklich komplett trennt, dann geht Usability verloren und die Werbeindustrie würde das brechen bekommen, aber ich wäre gerne bereit mit der Usability zu bezahlen. Würde es doch soviel mehr an Sicherheit bringen.

  4. Re: Jeder Tab...

    Autor: Sebbi 20.02.12 - 14:00

    SoniX schrieb:
    --------------------------------------------------------------------------------
    > Hmm.. habe Chrome, aber wenn ich in einem Tab in zB Facebook angemeldet bin
    > und in einen anderen Tab Facebook lade bin ich auch dort angemeldet.
    >
    > Ja, wenn man die Fenster (Tabs) wirklich komplett trennt, dann geht
    > Usability verloren und die Werbeindustrie würde das brechen bekommen, aber
    > ich wäre gerne bereit mit der Usability zu bezahlen. Würde es doch soviel
    > mehr an Sicherheit bringen.

    Das hat überhaupt nichts mit Tabs zu tun. Es ist die Art und Weise wie das Web funktioniert, die solchen Problemen führt. Im Browser werden bei einem Webseitenbesuch Inhalte aus verschiedenen Quellen geladen. Das führt zu einer Vermischung und diesen Missbrauchsmöglichkeiten ...

    Ohne diese Funktionen wäre das Internet allerdings ein langweiliger Ort.

  5. Re: Jeder Tab...

    Autor: SoniX 20.02.12 - 14:06

    Man kann eine Seite ja weiterhin aus unterschiedlichen Quellen laden solange jedes Fenster für sich abgeschottet bleibt.

    Dann kann Fenster B nicht Cookie A auslesen oder Seite C nicht wissen wo ich auf Seite B angemeldet bin. Clickjacking wie es zB in Facebook üblich ist, wäre dann Vergangenheit.

    Ich weiß echt nicht warum sowas, obwohl sich alle sicherster Browser schimpfen, noch nirgendwo umgesetzt ist.

  6. Re: Jeder Tab...

    Autor: Vollpfosten 20.02.12 - 14:15

    Vielleicht bist ja auch nirgends angemeldet. Man sollte schon angemeldet sein ;)
    Ich nutze auch Chrome, aber bei mir hat der Test funktioniert. Nach diversen Einstellungen in Adblock nun nicht mehr.

  7. Re: Jeder Tab...

    Autor: neocron 20.02.12 - 15:59

    SoniX schrieb:
    --------------------------------------------------------------------------------
    > Hmm.. habe Chrome, aber wenn ich in einem Tab in zB Facebook angemeldet bin
    > und in einen anderen Tab Facebook lade bin ich auch dort angemeldet.
    >
    > Ja, wenn man die Fenster (Tabs) wirklich komplett trennt, dann geht
    > Usability verloren und die Werbeindustrie würde das brechen bekommen, aber
    > ich wäre gerne bereit mit der Usability zu bezahlen. Würde es doch soviel
    > mehr an Sicherheit bringen.

    du brauchst nur cookies abschalten, schon hast du wovon du sprichst.
    Alle tabs sind voneinander getrennt, nur die cookies halt nicht ... was ja auch sinn macht, das ist die idee von cookies.

  8. Re: Jeder Tab...

    Autor: SoniX 20.02.12 - 16:09

    neocron schrieb:
    --------------------------------------------------------------------------------
    > du brauchst nur cookies abschalten, schon hast du wovon du sprichst.
    > Alle tabs sind voneinander getrennt, nur die cookies halt nicht ... was ja
    > auch sinn macht, das ist die idee von cookies.

    So einfach ists nun auch wieder nicht.

    Ohne Cookies kann man sich bei zB Facebook oder auch hier bei Golem überhaupt nichtmehr anmelden. Wahrscheinlich schlagen die meisten Anmeldungen ohne Cookies komplett fehl.

    Die Idee von Cookies war Daten "dauerhaft" zu speichern (Logindaten zB) und nicht diese dazu zu verwenden Werbemüll oder sonstige Spionagetätigkeiten ausführen zu können.

  9. Re: Jeder Tab...

    Autor: SoniX 20.02.12 - 16:18

    neocron schrieb:
    --------------------------------------------------------------------------------
    > du brauchst nur cookies abschalten, schon hast du wovon du sprichst.
    > Alle tabs sind voneinander getrennt, nur die cookies halt nicht ... was ja
    > auch sinn macht, das ist die idee von cookies.

    Lies die Meldung nochmal. Da gehts auch nicht um Cookies ;-)

    Edit: Gerade Cookies sollten nur von der ursprünglichen Seite ausgelesen werden können.

    Ich behaupte einfach mal:
    Man sollte die Seiten komplett (!) voneinander trennen. Cross-Site-Scripting adé.



    1 mal bearbeitet, zuletzt am 20.02.12 16:24 durch SoniX.

  10. Re: Jeder Tab...

    Autor: Akkarin 20.02.12 - 16:41

    Das ganze komplett abschalten ist auch keine Lösung und Dienste wie Twitter und Google würden es dir sicherlich danken. Außerdem würde das in diesem Fall auch nichts bringen. Nötig wäre es hier einfach das Laden von Grafiken von externen Seiten zu verbieten (Und damit verabschieden wir uns auch schon von den CDNs).

    Das ganze funktioniert (um es nochmal möglichst einfach zu erklären) aus einem Grund: Twitter und andere Dienste leiten ihre Nutzer um sofern diese nicht eingeloggt sind und deswegen nicht auf z.B. die Profileinstellungen zugreifen können. Logischerweise ändern die Browser dann auch die die URL der Grafik die eingebunden wurde (Dabei ist absolut egal ob es sich nun um eine Grafik handelt oder nicht. Der Code wird so interpretiert und damit hat sich die Sache). Nun hat man natürlich die Möglichkeit diese Information (also die URL der Grafik) wieder per JavaScript auszulesen. Ein Zugriff auf die Daten von Twitter (Cookies, Code der Seite, etc.) ist zu keinem Zeitpunkt möglich (Dank der Sicherheitsvorkehrungen des Browsers).

    Du siehst also: Das ganze ist eigentlich relativ sicher. Nur gibt es einige kleinere Lücken die aber nicht durch den Browser selbst sondern eigentlich durch die Dienste entstehen. In diesem Falle würde ich aber mal sagen, dass es sich nicht um eine Sicherheitslücke handelt sondern einfach ein Schlupfloch das man sicherlich auch als Feature in einer Seite verwenden könnte.

  11. Re: Jeder Tab...

    Autor: SoniX 20.02.12 - 16:52

    Denke schon, dass es nützen würde. Wenn eine Seite überhaupt nicht auf andere zugreifen kann, also komplette Trennung, so würde auch die URL (bzw die weitergeleitete URL) immer gleich aussehen und man wüsste nicht ob nun angemeldet oder nicht. Irre ich mich? :-)

  12. Re: Jeder Tab...

    Autor: Akkarin 20.02.12 - 16:55

    Sofern man wirklich selbst das einbinden einer simplen Grafik (und auch sämtlicher anderer Resourcen) verbieten würde, wäre die Information nicht mehr verfügbar. Korrekt. Nur gehen dadurch auch andere Möglichkeiten (Wie z.B. der bereits genannten CDNs) verloren. Ich binde z.B. auf meinen Diensten ein Cooperate-Design von der Domain des Hauptprojektes ein. Auch das wäre dann nicht mehr möglich ;-).

  13. Re: Jeder Tab...

    Autor: SoniX 20.02.12 - 20:24

    Ich glaube ich habe mich unglücklich oder undeutlich ausgedrückt.

    Mir gehts nicht darum woher die Webseiten ihre Daten nehmen. Mir gehts rein um den Browser.
    Nimm zB Firefox und mache Webseite A auf, nimm Chrome und mach Webseite B auf und mit Opera Webseite C. Diese Webseiten sind dann untereinander vollkommen abgeschottet. Wenn ich mit Firefox wo angemeldet bin weiß es nur Firefox, wenn Opera ein Cookies setzt so sehen das die anderen auch nicht.

    Und so hätte ich das gerne. Jeder Tab, jedes Fenster sollte als neu und eigen betrachtet werden.

  14. Re: Jeder Tab...

    Autor: Akkarin 20.02.12 - 20:28

    Ah. Dann hast du aber ein Problem: Der Sinn von Cookies wird grundlegend zerstört. Denn das bedeutet Theoretisch, dass sämtliche Daten beim schließen des Tabs verloren gehen -> Bei jedem Browser Neustart muss man sich neu anmelden ;-).

  15. Re: Jeder Tab...

    Autor: Artikelhasser 21.02.12 - 00:57

    Akkarin schrieb:
    --------------------------------------------------------------------------------
    > Ah. Dann hast du aber ein Problem: Der Sinn von Cookies wird grundlegend
    > zerstört. Denn das bedeutet Theoretisch, dass sämtliche Daten beim
    > schließen des Tabs verloren gehen -> Bei jedem Browser Neustart muss man
    > sich neu anmelden ;-).


    Wie, das macht man heutzutage ncht mehr so? :(

  16. Re: Jeder Tab...

    Autor: SoniX 21.02.12 - 11:36

    Wenns nur Cookies sind ist das ein kleines Problem. Ich lasse die Teile seit Jahren immer löschen und das Web funktioniert wunderbar weiter.

    Man müsste aber auch nicht auf Cookies verzichten. Es darf halt nur die Seite darauf zugreifen die es angelegt hat.

    Man kann dann nichtmehr in zB 2 Tabs gleichzeitig angemeldet sein, bzw müssten die Seiten dies erkennen und eben ne 2te Session anlegen oder darauf verweisen, dass man bereits angemeldet ist und im Hauptfenster weitermachen soll.

    Ich sehe da bis auf Kleinigkeiten keinen Grund der dagegen spricht :)

  17. Re: Jeder Tab...

    Autor: Syntafin 21.02.12 - 13:37

    SoniX schrieb:
    --------------------------------------------------------------------------------
    > Wenns nur Cookies sind ist das ein kleines Problem. Ich lasse die Teile
    > seit Jahren immer löschen und das Web funktioniert wunderbar weiter.
    >
    > Man müsste aber auch nicht auf Cookies verzichten. Es darf halt nur die
    > Seite darauf zugreifen die es angelegt hat.
    >
    > Man kann dann nichtmehr in zB 2 Tabs gleichzeitig angemeldet sein, bzw
    > müssten die Seiten dies erkennen und eben ne 2te Session anlegen oder
    > darauf verweisen, dass man bereits angemeldet ist und im Hauptfenster
    > weitermachen soll.
    >
    > Ich sehe da bis auf Kleinigkeiten keinen Grund der dagegen spricht :)

    Deine Theorie würde dann aber auch Cross-Site-Logins wie man es auf Google kennt und anderen Diensten verhindern, denn wenn nur der Login-Server das Cookie lesen darf dann können google.de, google.com usw. nicht darauf zugreifen.

    Ich habe mir diese Gesammte Diskussion jetzt durchgelesen... und mir kommt es gerade so vor als würdest du nicht wirklich lesen was Akkarin dir da immer antwortet... sonst wüsstest du das das was du verlangst ein Hirngespinnst ist das die gewohnte Umgebung zerstört.

    Ich persönlich nutze selbst ein Cross-Site-Login zumindest für die Admin-Konten die Projekt übergreifen funktionieren.

  18. Re: Jeder Tab...

    Autor: SoniX 21.02.12 - 14:40

    Syntafin schrieb:
    --------------------------------------------------------------------------------
    > Deine Theorie würde dann aber auch Cross-Site-Logins wie man es auf Google
    > kennt und anderen Diensten verhindern, denn wenn nur der Login-Server das
    > Cookie lesen darf dann können google.de, google.com usw. nicht darauf
    > zugreifen.

    Würde mich nicht stören und für Google: Dann ist eben die Domain worin man sich einloggt immer zB google.com.

    > Ich habe mir diese Gesammte Diskussion jetzt durchgelesen... und mir kommt
    > es gerade so vor als würdest du nicht wirklich lesen was Akkarin dir da
    > immer antwortet... sonst wüsstest du das das was du verlangst ein
    > Hirngespinnst ist das die gewohnte Umgebung zerstört.

    Doch schon gelesen und hoffentlich auch verstanden ;)
    Ich hatte mich zu beginn etwas falsch ausgedrückt, weshalb die ersten posts in eine andere Richtung liefen.

    Ja klar wäre es anders als nun. Aber mal ehrlich: Ich kann schon nichtmehr zählen wieviele Lücken in dem System nicht schon waren. Heute gabs ja wieder so ein 3rd Party Cookie Problem bei Golem.

    Wenn man immer alles gegeneinander abschotten würde so hätten wir die Probleme erst garnicht.

    Ich baue ja auch kein Haus wo Nachbar A in den Vorraum darf, Nachbar B ins WC und C darf garnichts. Ich baue das Haus gleich so, dass erstmal keiner irgendwas darf.

    > Ich persönlich nutze selbst ein Cross-Site-Login zumindest für die
    > Admin-Konten die Projekt übergreifen funktionieren.

    Aber da gibts doch bestimmt ne einfache Lösung :)

  19. Re: Jeder Tab...

    Autor: Syntafin 21.02.12 - 14:47

    SoniX schrieb:
    --------------------------------------------------------------------------------
    > Syntafin schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ich persönlich nutze selbst ein Cross-Site-Login zumindest für die
    > > Admin-Konten die Projekt übergreifen funktionieren.
    >
    > Aber da gibts doch bestimmt ne einfache Lösung :)

    Nun die gibt es, es ist einfach gehalten. Jedoch erlaube ich persönlich keine Logins über andere Seiten, es wird auch nie kommen.

    Deine Grundidee ist schon gut, das nur die Seite der das Cookie gehört darauf zugreifen darf.
    Die Idee müsste dann aber folgendermaßen funktionieren:

    *.domainname.tld

    Also auch Subdomains ;)

  20. Re: Jeder Tab...

    Autor: Programie 22.02.12 - 14:04

    SoniX Wrote:
    --------------------------------------------------------------------------------
    > Hmm.. habe Chrome, aber wenn ich in einem Tab in zB Facebook angemeldet bin
    > und in einen anderen Tab Facebook lade bin ich auch dort angemeldet.
    Verwende mal den Incognito Mode von Chrome. ;-)

    Oder einfache ein weiteres Profil. Chrome kann das ja seit kurzem mit den Chrome Usern.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. operational services GmbH & Co. KG, Berlin, Frankfurt am Main, Wolfsburg, Braunschweig
  2. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  3. Wirtschaftsrat der CDU e.V., Berlin
  4. Haufe Group, Sankt Gallen (Schweiz) / Deutschland (Home-Office)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 39€ + Versand (Bestpreis!)
  2. (aktuell u. a. Intel Core i5-9600K boxed für 229€ + Versand statt 247,90€ + Versand im...
  3. (u. a. 4K-Filme im Steelbook und Amiibo-Figuren)
  4. ab 99,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Chromium: Der neue Edge-Browser könnte auch Chrome besser machen
Chromium
Der neue Edge-Browser könnte auch Chrome besser machen

Build 2019 Wie sieht die Zukunft des Edge-Browsers aus und was will Microsoft zum Chromium-Projekt beitragen? Im Gespräch mit Golem.de gibt das Unternehmen die vage Aussicht auf einen Release für Linux und Verbesserungen in Google Chrome. Bis dahin steht viel Arbeit an.
Von Oliver Nickel

  1. Insiderprogramm Microsoft bietet Vorversionen von Edge für den Mac an
  2. Browser Edge auf Chromium-Basis wird Netflix in 4K unterstützen
  3. Browser Microsoft lässt nur Facebook auf Flash-Whitelist in Edge

Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht
  3. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?

  1. US-Boykott: Huawei bekommt Probleme bei SD-Karten und Drahtlosnetzen
    US-Boykott
    Huawei bekommt Probleme bei SD-Karten und Drahtlosnetzen

    Durch den Handelsboykott der USA gerät Huawei immer stärker unter Druck: Das chinesische Unternehmen könnte die Möglichkeit verlieren, seine Mobilegeräte nach den gängigen Standards für SD-Karten und Drahtlosnetzwerke zu bauen - oder zumindest mit den entsprechenden Logos zu werben.

  2. Apple: Update auf iOS 12.3.1 behebt Probleme mit VoLTE
    Apple
    Update auf iOS 12.3.1 behebt Probleme mit VoLTE

    Apple hat ohne öffentlichen Betatest ein Update für iOS veröffentlicht. Es löst mehrere Probleme, darunter einen ärgerlichen Bug mit Voice over LTE und zwei Fehler in der Nachrichten-App.

  3. Project Xcloud: Microsoft streamt Spiele mit Xbox-Blades
    Project Xcloud
    Microsoft streamt Spiele mit Xbox-Blades

    Entwickler müssen nichts am Code von Xbox-Spielen ändern, um sie auf den Servern von Microsoft zu streamen. Das hat Kareem Choudhry von Microsoft gesagt - und gleichzeitig eine neue API vorgestellt.


  1. 13:20

  2. 12:11

  3. 11:40

  4. 11:11

  5. 17:50

  6. 17:30

  7. 17:09

  8. 16:50