1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Tutorial: Portscans durch Webseiten…

Welcher Intelligenzallergiker hat es zu verantworten...

  1. Thema

Neues Thema Ansicht wechseln


  1. Welcher Intelligenzallergiker hat es zu verantworten...

    Autor: zilti 30.10.20 - 15:08

    ...dass JavaScript sowas überhaupt darf? Das ist ja hirnrissig!

  2. Re: Welcher Intelligenzallergiker hat es zu verantworten...

    Autor: MarcusK 30.10.20 - 15:26

    zilti schrieb:
    --------------------------------------------------------------------------------
    > ...dass JavaScript sowas überhaupt darf? Das ist ja hirnrissig!

    leider geht der Artikel nicht darauf ein.

    JS selber kann nicht einfach so sockets öffnen, aber bietet die Möglichkeit über eine URL ( http(s)) daten nachzuladen.
    Und dieses wird jetzt missbraucht um einfach von einer lokale IP mit Port Daten zu laden. Dabei wird immer http als Protokoll verwendet. Man kann also nicht wirklich die gesendete daten bestimmen. Aber von der Antwort (oder besser dem Fehler) kann man bestimmen ob die Port offen ist.

    Wenn man das im JS verbietet, kann man nichts mehr nachladen - damit ist das Web wieder bei 1.0 angekommen.

  3. Re: Welcher Intelligenzallergiker hat es zu verantworten...

    Autor: ClausWARE 30.10.20 - 15:38

    MarcusK schrieb:
    --------------------------------------------------------------------------------
    > JS selber kann nicht einfach so sockets öffnen, ...

    Und ob das Javascript kann, dafür wurden die Websockets erfunden, darüber kann eine Seite Socket-Verbindungen zum Server oder einem anderen Dienst öffnen und offen halten.

  4. Re: Welcher Intelligenzallergiker hat es zu verantworten...

    Autor: MarcusK 30.10.20 - 16:04

    ClausWARE schrieb:
    --------------------------------------------------------------------------------
    > MarcusK schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > JS selber kann nicht einfach so sockets öffnen, ...
    >
    > Und ob das Javascript kann, dafür wurden die Websockets erfunden, darüber
    > kann eine Seite Socket-Verbindungen zum Server oder einem anderen Dienst
    > öffnen und offen halten.
    nein - ein Websocket ist auch am anfgang eine HTTP Verbindung worauf man aus JS keinen Einfluss hat.
    Versuche doch damit mal eine SSH Verbindung aufzubauen - was sonst mit Sockets keine Problem ist.

  5. Re: Welcher Intelligenzallergiker hat es zu verantworten...

    Autor: arno2k20 30.10.20 - 16:28

    MarcusK schrieb:
    --------------------------------------------------------------------------------
    > ClausWARE schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > MarcusK schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > JS selber kann nicht einfach so sockets öffnen, ...
    > >
    > > Und ob das Javascript kann, dafür wurden die Websockets erfunden,
    > darüber
    > > kann eine Seite Socket-Verbindungen zum Server oder einem anderen Dienst
    > > öffnen und offen halten.
    > nein - ein Websocket ist auch am anfgang eine HTTP Verbindung worauf man
    > aus JS keinen Einfluss hat.
    > Versuche doch damit mal eine SSH Verbindung aufzubauen - was sonst mit
    > Sockets keine Problem ist.

    Er hat doch garnix vom nutzen eines bestimmten Protokolls geschrieben? Nur dass Verbindungen aufgebaut werden können.
    Er hätte "Sockets" genauer spezifizieren können, aber das war's dann auch schon.
    Kein Grund rumzuflamen.

    Es macht übrigens wirklich keinen Sinn, JS Verbindungen zu internen Netzen aufbauen zu lassen.



    3 mal bearbeitet, zuletzt am 30.10.20 16:30 durch arno2k20.

  6. Re: Welcher Intelligenzallergiker hat es zu verantworten...

    Autor: MarcusK 30.10.20 - 16:38

    arno2k20 schrieb:
    --------------------------------------------------------------------------------
    > MarcusK schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ClausWARE schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > MarcusK schrieb:
    > > >
    > >
    > ---------------------------------------------------------------------------
    >
    > >
    > > > -----
    > > > > JS selber kann nicht einfach so sockets öffnen, ...
    > > >
    > > > Und ob das Javascript kann, dafür wurden die Websockets erfunden,
    > > darüber
    > > > kann eine Seite Socket-Verbindungen zum Server oder einem anderen
    > Dienst
    > > > öffnen und offen halten.
    > > nein - ein Websocket ist auch am anfgang eine HTTP Verbindung worauf man
    > > aus JS keinen Einfluss hat.
    > > Versuche doch damit mal eine SSH Verbindung aufzubauen - was sonst mit
    > > Sockets keine Problem ist.
    >
    > Er hat doch garnix vom nutzen eines bestimmten Protokolls geschrieben? Nur
    > dass Verbindungen aufgebaut werden können.
    > Er hätte "Sockets" genauer spezifizieren können, aber das war's dann auch
    > schon.
    > Kein Grund rumzuflamen.
    habe ich doch gar nicht, wollte nur deutlich machen das ein WebSocket kein normaler Socket ist.

    > Es macht übrigens wirklich keinen Sinn, JS Verbindungen zu internen Netzen
    > aufbauen zu lassen.
    ja und nein. Es gibt z.b. Webseiten die über JS verbindung zu einem lokalen Service aufbauen.

    und dann wird spätestens mit IPv6 Aussage "lokalen" netzt unsinnig. Es sind die gleichen IPs wie im Rest vom netzt.

  7. Re: Welcher Intelligenzallergiker hat es zu verantworten...

    Autor: ClausWARE 30.10.20 - 18:38

    HTTP und SSH sind nur verschiedene Protokolle die Sockets nutzen, und SSH geht nicht über WebSockets?
    Dann erklähre mir wie folgende rein Javascript basierende Browser-Plugins das hinbekommen haben:
    - FireSSH
    - Secure Shell App

  8. Re: Welcher Intelligenzallergiker hat es zu verantworten...

    Autor: DASPRiD 30.10.20 - 18:44

    ClausWARE schrieb:
    --------------------------------------------------------------------------------
    > HTTP und SSH sind nur verschiedene Protokolle die Sockets nutzen, und SSH
    > geht nicht über WebSockets?
    > Dann erklähre mir wie folgende rein Javascript basierende Browser-Plugins
    > das hinbekommen haben:
    > - FireSSH
    > - Secure Shell App

    Das sind keine Webseiten, sondern Browser-Addons die APIs nutzen, die für Webseiten nicht zur Verfügung stehen.

  9. Re: Welcher Intelligenzallergiker hat es zu verantworten...

    Autor: dilaracem 31.10.20 - 09:04

    MarcusK schrieb:

    > JS selber kann nicht einfach so sockets öffnen, aber bietet die Möglichkeit
    > über eine URL ( http(s)) daten nachzuladen.
    > Und dieses wird jetzt missbraucht um einfach von einer lokale IP mit Port
    > Daten zu laden. Dabei wird immer http als Protokoll verwendet. Man kann
    > also nicht wirklich die gesendete daten bestimmen. Aber von der Antwort
    > (oder besser dem Fehler) kann man bestimmen ob die Port offen ist.
    >
    > Wenn man das im JS verbietet, kann man nichts mehr nachladen - damit ist
    > das Web wieder bei 1.0 angekommen.

    Ich möchte mal danke für diese Antwort sagen! Das war mir noch nicht klar und ich denke vielen anderen hier auch nicht.

  10. Re: Welcher Intelligenzallergiker hat es zu verantworten...

    Autor: kayozz 31.10.20 - 12:02

    zilti schrieb:
    --------------------------------------------------------------------------------
    > ...dass JavaScript sowas überhaupt darf? Das ist ja hirnrissig!

    Javascript darf das, was der Browser darf und wenn ich z.B. dem Browser anweise eine Grafik versteckt mitzuladen (z.B. das Fritzbox-Logo von http://192.168.178.1/css/rd/logos/logo_fritzDiamond.svg dann kann Javascript auch überprüfen, ob die Grafik geladen wurde (größe des unsichtbaren Bildes) oder nicht und schon weiß ich, dass du eine Fritzbox hast (oder nicht).

    Ich kann mich auch noch gut an die Zeit erinnern, als Webspace teuer war und man als Privatperson aufpassen musste, dass nicht zur Hälfte des Monats das Datenkontingent verbraucht war und es teuer wurde.

    Daher hatten z.B. die guten alten Bulletin Boards eine Option die Grafiken / Styles von Lokal zu laden.

    (Ich habe mich eingeloggt und in meinem Profil war hinterlegt, dass die Grafiken von c:\bb\ statt aus dem Netz geladen werden sollten.

  11. Re: Welcher Intelligenzallergiker hat es zu verantworten...

    Autor: smonkey 01.11.20 - 10:24

    Wer sich mal die Mühe gemacht hätte, die verlinkte Quelle in Erinnerung zu rufen, hätte sehr schnell feststellen können, dass für diese sogenannten "Portscans" Websocket Verbindungen aufgebaut werden.

    Allerdings ist die Aussagekraft dieser Scans erheblich eingeschränkt, und in Zeiten in denen weitaus mehr als 99,99% der Internetnutzer hinter NAT oder Firewall hängen praktisch annähernd Null.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Wintershall Dea GmbH, Kassel
  2. Sikla GmbH, Villingen-Schwenningen
  3. Balluff GmbH, Neuhausen auf den Fildern bei Stuttgart
  4. Investitionsbank Schleswig-Holstein, Kiel

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 3,99€
  2. 14,99€
  3. 27,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de