Abo
  1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › Web Components: HTML-Elemente selber…

Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

  1. Thema

Neues Thema Ansicht wechseln


  1. Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: JuriStranowsky 17.05.13 - 12:54

    Klingt toll.

    Aber eine Laienfrage: Macht dieses Konzept nicht viele Sicherheitslücken auf Client-Seite wieder auf, die mit viel Arbeit Serverseitig geschlossen wurden?

    Juri

  2. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: EqPO 17.05.13 - 12:59

    Ne wieso? Das ist ja einfach "nur" die Clientseite. Man kann die Daten, die dann clientseitig erfasst sind, schön an den Server senden und ihrer ganz normalen Prüfung unterziehen. Bisher ist es oft so, dass man Daten bekommt und die jetzt irgendeinem Element beispielsweise einem Texteingabefeld zuordnet. Jetzt ändert man einfach die Modeldaten und die wiederum geben das an die Ansicht, also das Texteingabefeld weiter. Und anders rum genauso. Man braucht also nicht mehr mit dem DOM reden, sondern nur noch mit den Modeldaten. Der Rest wird automatisch verändert.



    1 mal bearbeitet, zuletzt am 17.05.13 13:00 durch EqPO.

  3. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: Haxx 17.05.13 - 13:10

    Im Gegenteil, hier entsteht eine neue Sicherheit das Bestandteile deiner App/Webseite nicht versehentlich geändert werden.

  4. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: k@rsten 17.05.13 - 13:20

    Lieber Haxx antworte doch mal dem Nutzer auf den sich deine Antwort auch bezieht. Nur so ein Tipp "Ansicht wechseln"

  5. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: JohnPaters61 17.05.13 - 14:07

    k@rsten schrieb:
    --------------------------------------------------------------------------------
    > Lieber Haxx antworte doch mal dem Nutzer auf den sich deine Antwort auch
    > bezieht. Nur so ein Tipp "Ansicht wechseln"

    Oder man hält sich einfach an die von Golem präsentierte Ansicht. ;-) Dann zersplittern Diskussionen auch nicht so extrem, in denen dadurch ständig das Selbe gesagt wird.

  6. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: droptable 17.05.13 - 14:14

    Krass fände ich es ja, wenn man mit der P2P API im Browser ein Botnetz entwickeln könnte.
    Man stelle sich das mal vor :O

  7. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: Schattenwerk 17.05.13 - 14:51

    droptable schrieb:
    --------------------------------------------------------------------------------
    > Krass fände ich es ja, wenn man mit der P2P API im Browser ein Botnetz
    > entwickeln könnte.
    > Man stelle sich das mal vor :O

    Kannst du schon seit vielen Jahren... dafür brauchst du nur ein Browser.

    Du schleust in einen Werbeverteiler JS ein, welches bei den Clients dann ausgeführt wird und per Ajax permanent eine Seite anspricht. Oder noch einfacher: Immer wieder ein gleiches Bild lädt - dafür brauchst du nicht mal Ajax.

    Und fertig ist der clientseitige DDoS

  8. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: Haxx 17.05.13 - 15:10

    Schattenwerk schrieb:
    --------------------------------------------------------------------------------
    > droptable schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Krass fände ich es ja, wenn man mit der P2P API im Browser ein Botnetz
    > > entwickeln könnte.
    > > Man stelle sich das mal vor :O
    >
    > Kannst du schon seit vielen Jahren... dafür brauchst du nur ein Browser.
    >
    > Du schleust in einen Werbeverteiler JS ein, welches bei den Clients dann
    > ausgeführt wird und per Ajax permanent eine Seite anspricht. Oder noch
    > einfacher: Immer wieder ein gleiches Bild lädt - dafür brauchst du nicht
    > mal Ajax.
    >
    > Und fertig ist der clientseitige DDoS

    Nö das geht nicht, schon mal was von CSP gehört? ;)

    Auch die P2P API ist so gestaltet das man eben nicht wild angriffe fahren kann. Die Zeiten in denen solche Features ohne hinblick auf Security gebaut werden ist lange vorbei

  9. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: GodsBoss 18.05.13 - 08:45

    > > > Krass fände ich es ja, wenn man mit der P2P API im Browser ein Botnetz
    > > > entwickeln könnte.
    > > > Man stelle sich das mal vor :O
    > >
    > > Kannst du schon seit vielen Jahren... dafür brauchst du nur ein Browser.
    > >
    > > Du schleust in einen Werbeverteiler JS ein, welches bei den Clients dann
    > > ausgeführt wird und per Ajax permanent eine Seite anspricht. Oder noch
    > > einfacher: Immer wieder ein gleiches Bild lädt - dafür brauchst du nicht
    > > mal Ajax.
    > >
    > > Und fertig ist der clientseitige DDoS
    >
    > Nö das geht nicht, schon mal was von CSP gehört? ;)
    >
    > Auch die P2P API ist so gestaltet das man eben nicht wild angriffe fahren
    > kann. Die Zeiten in denen solche Features ohne hinblick auf Security gebaut
    > werden ist lange vorbei

    Du hast wohl dem Falschen geantwortet. Der von Schattenwerk beschriebene Angriff funktioniert seit Jahren und wird auch in Zukunft funktionieren. Aufgrund des Konzeptes ist er aber eher wurstig – die meisten HTTP-Clients von Nutzern sind so eingestellt, dass sie Referer mitliefern, damit lässt sich die Quelle des Angriffe schnell feststellen, benachrichtigen und das Ganze wird beendet.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  10. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: Haxx 18.05.13 - 09:56

    Du meinst das ein httprequest von einer host per JavaScript auf dem client auf einem anderen host gemacht wird? Das wird durch CSP verhindert.

  11. Re: Entsteht hier gerade eine neue Klasse von Sicherheitslücken?

    Autor: GodsBoss 18.05.13 - 10:14

    > Du meinst das ein httprequest von einer host per JavaScript auf dem client
    > auf einem anderen host gemacht wird? Das wird durch CSP verhindert.

    Es geht um das von Schattenwerk skizzierte Szenario.
    Teilnehmer: Werbenetzwerk W, werbende Seite S, Opfer der Attacke O und Benutzer B

    W wird befallen und manipuliert. B besucht S, dass Code von W einbindet. Statt des üblichen Werbecodes kommt aber Code, der einfach ein Bild (heimlich) von O einbindet. Der Browser von B setzt also einen HTTP-Request an O ab.

    Wenn ich CSP richtig verstanden habe, kann S entsprechende Policies einbinden, die das verhindern. O hat hingegen, falls S das nicht getan hat, keine Möglichkeit, die DDoS-Attacke zu verhindern.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. VNR Verlag für die Deutsche Wirtschaft AG, Bonn
  2. Universität Potsdam, Potsdam
  3. operational services GmbH & Co. KG, Frankfurt am Main, Wolfsburg, Braunschweig, Berlin
  4. awinia gmbh, Freiburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 299,00€
  2. täglich neue Deals bei Alternate.de
  3. 245,90€ + Versand
  4. 83,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht
  3. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?

Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
Lightyear One
Luxus-Elektroauto fährt auch mit Solarstrom

Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
Von Wolfgang Kempkens

  1. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern
  2. Elektroautos e.GO Mobile liefert erste Fahrzeuge aus
  3. Volkswagen Über 10.000 Vorreservierungen für den ID.3 in 24 Stunden

  1. Karlsdorf-Neuthard: Telekom beim Vectoring-Ausbau von Gemeinde behindert
    Karlsdorf-Neuthard
    Telekom beim Vectoring-Ausbau von Gemeinde behindert

    Die Deutsche Telekom sieht sich von der Gemeinde Karlsdorf-Neuthard aktiv im Vectoring-Ausbau benachteiligt. Von einem nachträglichen Überbau der kommunalen Glasfaser könne keine Rede sein.

  2. Zotac Zbox Mini: Winzige PCs fürs Büro und Grafikerstudio sind 3 cm dick
    Zotac Zbox Mini
    Winzige PCs fürs Büro und Grafikerstudio sind 3 cm dick

    Computex 2019 Zotac will möglichst viel Hardware in seine knapp 3 cm dicken Gehäuse stecken und diese Zboxen auf der Computex 2019 zeigen. Bisher ist allerdings noch nicht viel darüber bekannt. Bilder geben viele Anschlüsse preis. Außerdem sind Intel-Prozessoren und Nvidia-GPUs bestätigt.

  3. Fujifilm GFX 100: Fuji bringt eine 100-Megapixel-Mittelformatkamera heraus
    Fujifilm GFX 100
    Fuji bringt eine 100-Megapixel-Mittelformatkamera heraus

    Da ist sie endlich: Auf der Photokina 2018 hatte Fujifilm seine Mittelformatkamera mit 100-Megapixel-Sensor und 4K-Videoaufnahme angekündigt. Inzwischen ist sie marktreif und in Kürze erhältlich.


  1. 17:50

  2. 17:30

  3. 17:09

  4. 16:50

  5. 16:33

  6. 16:07

  7. 15:45

  8. 15:17