1. Foren
  2. Kommentare
  3. Software-Entwicklung-Forum
  4. Alle Kommentare zum Artikel
  5. › Webhack: Javascript…

Schaden verursachen?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Schaden verursachen?

    Autor: JensEif 23.08.10 - 11:20

    Verzeihung, ich kenne mich nicht gut aus, aber bedeutet dies nicht auch, dass man Schad-Code schnell mal wieder verbreiten kann/könnte?

  2. Re: Schaden verursachen?

    Autor: Lala Satalin Deviluke 23.08.10 - 11:30

    Prinzipiell ja, denn man könnte eine Seite analysieren und dann eine PNG vorbereiten, die Schadcode enthält. Man muss die Seite dann nur dazu verleiten diese zu laden und dann Boom...

    Grüße vom Planeten Deviluke!

  3. Re: Schaden verursachen?

    Autor: irgendwersonst 23.08.10 - 11:40

    das ist verdammt übel, ich sehe jetzt schon wie tausende von Werbeservern entsprechende PNGs ausliefern und millionen von Rechnern infizieren weil die Browser den Code in den PNGs ausführen.

    höchste Zeit, daß alle Browser die Lücke dicht machen -.-

  4. Re: Schaden verursachen?

    Autor: coresploit 23.08.10 - 11:46

    Der Browser macht gar nichts! Um das PNG "auszuführen", muss man ein JS im Browser laden, welches das PNG in ein <canvas> packt und per getImageData() ausliest, in einen String wandelt und in ein <script>-Tag packt. Das ist keine Sicherheitslücke. Es braucht also ein zusätzliches Skript, welches die Arbeit verrichtet.

  5. Re: Schaden verursachen?

    Autor: Lala Satalin Deviluke 23.08.10 - 11:46

    Du meinst einfach getImageData() abschaffen? Weiß auch nicht wozu diese Funktion nützlich sein sollte...

    Grüße vom Planeten Deviluke!

  6. Re: Schaden verursachen?

    Autor: Lala Satalin Deviluke 23.08.10 - 11:47

    Wenn aber die Seiten ein solches Script haben bräuchte man nur die PNG-Quelle manipulieren.

    Grüße vom Planeten Deviluke!

  7. Re: Schaden verursachen?

    Autor: coresploit 23.08.10 - 11:49

    Eine Seite hat kein solches Skript... :D Das wäre so, als ob ein Blog auf die strip_tags()-Funktion verzichtet... dann könnte jeder ein Skript einbinden.

  8. Re: Schaden verursachen?

    Autor: mag kein JS 23.08.10 - 11:52

    Lala Satalin Deviluke schrieb:
    --------------------------------------------------------------------------------
    > bräuchte man nur

    Was ja soviel einfacher ist, wie die Seite selbst zu manipulieren.

  9. Re: Schaden verursachen?

    Autor: wechselgänger2 23.08.10 - 11:53

    Lala Satalin Deviluke schrieb:
    --------------------------------------------------------------------------------
    > Wenn aber die Seiten ein solches Script haben bräuchte man nur die
    > PNG-Quelle manipulieren.

    Weil es ja auch so schrecklich viele Seiten gibt, die eine solche Funktion brauchen...

  10. Re: Schaden verursachen?

    Autor: Lala Satalin Deviluke 23.08.10 - 12:01

    Ein Beispiel wären zum Beispiel Adserver.

    Grüße vom Planeten Deviluke!

  11. Re: Schaden verursachen?

    Autor: mag kein JS 23.08.10 - 12:08

    Du kannst deine Werbung heute schon mit JS ausliefern. Worauf du aber hinaus willst, ist einfach nur grob fahrlässiges Verhalten. Ein bisschen Restverstand kann man dem Menschen schon abverlangen.

  12. Re: Schaden verursachen?

    Autor: wechselgänger2 23.08.10 - 12:08

    Lala Satalin Deviluke schrieb:
    --------------------------------------------------------------------------------
    > Ein Beispiel wären zum Beispiel Adserver.

    Aha? Die packen ihr Javascript in Bilddateien?
    Das wäre mir neu.
    Die lassen ihr Javascript ganz regulär vom Weberserver, der die Werbung ausliefert, in den Seitenquelltext einbetten.


    Ich habe das Gefühl, daß du nicht verstehst, was hier gemacht wird und wann und wo das relevant ist.

  13. Re: Schaden verursachen?

    Autor: icke2311 23.08.10 - 12:15

    inwiefern kann denn ein modifiziertes png gefährlich werden? Da der "dekomprimierte" Code ja auf Client Seite ausgeführt wird? Denn jetzt könnte ja auch jeder einfach Firebug nutzen und JS Code ändern. Bei AJAX Anwendungen könnte ich es mir noch evtl. vorstellen, aber selbst da sollte jemand der von der Client Seite Daten empfängt einen entsprechenden Filter einbauen... und wenn es nur strip_tags() ist ;-)

    oder seh ich da was falsch?

  14. Re: Schaden verursachen?

    Autor: Lala Satalin Deviluke 23.08.10 - 12:40

    Es wurden doch schon öfter Exploits per Adserver eingeschleust...

    Zum Glück nutze ich NoScript und Adblock.

    Grüße vom Planeten Deviluke!

  15. Re: Schaden verursachen?

    Autor: wechselgänger2 23.08.10 - 14:51

    Lala Satalin Deviluke schrieb:
    --------------------------------------------------------------------------------
    > Es wurden doch schon öfter Exploits per Adserver eingeschleust...

    Kannst du der Unterhaltung noch folgen?
    Die Frage war, welche Anwendungen es für diese Funktion (HTML+CSS+JS in einem PNG komprimieren) gibt, und deine Antwort war "Adserver".
    Diese Antwort ist falsch, weil es m.W. keinen Werbelieferanten gibt, der das nutzt.


    Aber vermutlich ist es schwer, den Überblick über den ganzen Kram
    zu behalten, den man schreibt, wenn man überall seinen Senf dazugibt, hmm?

  16. Re: Schaden verursachen?

    Autor: Lala Satalin Deviluke 23.08.10 - 15:03

    Richtig, es gibt kein Adserver, der das nutzt. Und das rechtfertigt dir, dass es nicht möglich sein kann dieses "Feature" auch bösartig ausnutzen zu können, nur weil die kein Canvas nutzen um aus PNGs Daten zu entpacken?

    Grüße vom Planeten Deviluke!

  17. Re: Schaden verursachen?

    Autor: Kermitted 23.08.10 - 17:41

    Sicherheitstechnisch ist die Sache recht unproblematisch,
    es kann erstmal genau nur das gemacht werden was der Browser so "unterstützt" es wird ja keine Sicherheitslücke verwendet sondern einfach das Kompressions-Verfahren von PNG verwendet um das ganze zu Komprimieren. Wenn der Browser eine generische Verlustfreie Komprimierung unterstützt, hätte das den selben Effekt.
    Dadurch entstehen keine neuen Sicherheitslücken es werden auch keine Ausgenutzt....

    Grüße
    Kermitted

  18. Re: Schaden verursachen?

    Autor: Martin F. 23.08.10 - 18:19

    coresploit schrieb:
    --------------------------------------------------------------------------------
    > Eine Seite hat kein solches Skript... :D Das wäre so, als ob ein Blog auf
    > die strip_tags()-Funktion verzichtet... dann könnte jeder ein Skript
    > einbinden.

    strip_tags() für Kommentare ist der größte Scheiß. Beispiel:

    <3 coresploit! coresploit > *

    Natürlich wird auch jeder andere Kommentar verstümmelt, der das kleiner-Zeichen benutzt (muss ja nicht mal absichtlich sein). Toll auch in Blogs, die sich an Webentwickler richten, in denen man einen Kommentar über (nicht mit) HTML hinterlassen möchte.

    --
    Bitte prüfen Sie, ob Sie diesen Beitrag wirklich ausdrucken müssen!

  19. Re: Schaden verursachen?

    Autor: X999 23.08.10 - 21:09

    Du kannst damit nur javascript ausführen, was du auch normal ausgecodet machen könntest.

  20. Re: Schaden verursachen?

    Autor: 0X00140E 24.08.10 - 02:45

    Also in svg kann man javascript einbetten, ich frage mich was wohl gefährlicher ist ;).

    Also regt euch nicht auf.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT Servicetechniker*in
    SCHOTT AG, Müllheim
  2. Softwareentwickler (m/w/d) Full Stack
    Captana GmbH, Ettenheim
  3. Consultant (m/w/d) MES
    J.M. Voith SE & Co. KG, Heidenheim an der Brenz
  4. Professur (W2) für "Digitale Gesundheitsanwendungen und Medical Apps"
    Fachhochschule Dortmund, Dortmund

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Merck: Von der Apotheke zum zweitbesten IT-Arbeitgeber
Merck
Von der Apotheke zum zweitbesten IT-Arbeitgeber

Das Pharmaunternehmen Merck ist auf Platz 2 der Top-IT-Arbeitgeber Deutschlands gelandet - wir wollten von den Mitarbeitern wissen, wieso.
Von Tobias Költzsch


    Koalitionsvertrag: Was bedeuten die Ampel-Pläne für die Elektromobilität?
    Koalitionsvertrag
    Was bedeuten die Ampel-Pläne für die Elektromobilität?

    Nach dem Willen der Ampelkoalition sollen 15 Millionen Elektroautos bis 2030 auf deutschen Straßen unterwegs sein. Wir haben uns angeschaut, wie das genau umgesetzt werden soll.
    Eine Analyse von Friedhelm Greis

    1. Elektroauto Mercedes EQS 350 als Basisversion mit 90-kWh-Akku bestellbar
    2. Elektro-Kombi Mercedes-Benz startet Verkauf von Siebensitzer EQB
    3. 600 neue Standorte Ionity investiert mit Blackrock 700 Millionen Euro

    Apples M1 Max im Test: Schlicht eine ganz irdische Glanzleistung
    Apples M1 Max im Test
    Schlicht eine ganz irdische Glanzleistung

    Apple sagt zum M1 Max: "Amazing! Incredible! Phenomenal!" Golem sagt: Effizienz und Performance sind top, aber nicht überraschend.
    Ein Test von Marc Sauter

    1. Apple Silicon M1-Macbooks haben offenbar vermehrt Speicherlecks
    2. Apple Silicon Künftige Mac-Chips sollen Intels locker überholen
    3. Macbook Pro Mobile-Entwicklung profitiert von Apples M1