Web-Sicherheit

Januar 21, 2011

Sicherheitsprobleme von Browsern

Filed under: Allgemein — sebastiankuebeck @ 15:16
Tags: , , , , ,

Interessante Präsentation über Browser(un)sicherheit von Collin Jackson, Dozent am Carnegie Mellon University Silicon Valley Campus.


Er behandelt speziell die Themen Cross-Site Request Forgery (CSRF) und Probleme beim Session-Management und geht dabei über die Themen hinaus, die ich in meinem Buch beschrieben habe. Das Problem „Login CSRF“ ist dabei eine Kombination von unsicherem Session-Management und mangelhaftem Schutz vor CSRF.

Ich habe auch ausschließlich die Verteidigung mittels Token beschrieben, da das nach Meinung der OWASP und meiner Meinung die Sicherste Lösung darstellt. Die Idee, die Restriktionen beim Setzten von HTTP-Headern durch die Same Origin Policy zu verwenden, um Ajax-Anwendungen vor CSRF-Angriffen zu schützen, war mir neu, ist aber eine interessante und vor allem innovative Idee! Lediglich die Überprüfung des Referrers scheint mir etwas gefährlich zu sein.

Auf der Homepage der Universität stehen übrigens zahlreiche interessante Papers zur freien Verfügung. Unter anderem auch das Busting-Frame-Busting-Paper (an dem Collin Jackson auch beteiligt war) auf dessen Inhalt ich in Kapitel 10 mit einem konkreten Beispiel eingehe.

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: