Alles andere als ausgezeichnet

HTML5 bietet neue Angriffsflächen

| Autor / Redakteur: Michael Matzer / Stephan Augsten

Einige neue HTML5-Funktionen sind anfällig und werden bereits von Hackern ausgenutzt.
Einige neue HTML5-Funktionen sind anfällig und werden bereits von Hackern ausgenutzt. (Bild: Sergey Mavrody / Wikipedia)

HTML5 ist zwar eine leistungsfähige Entwicklungsgrundlage für flexible Client-seitige Web-Applikationen, bietet jedoch auch neue Angriffsflächen. Auf einer Sicherheitskonferenz, die Mitte Mai in San Francisco stattfand, zeigte eine Security-Expertin sowohl die Schwachstellen als auch geeignete Gegenmaßnahmen.

Viele Browser unterstützen bereits HTML5, obwohl die offizielle Freigabe durch das W3C (World Wide Web Consortium) noch aussteht. Die neueste Version der Auszeichnungssprache bietet eine Reihe von Funktionen, um die Erstellung von interaktiven Mashup-Applikationen für das Web zu vereinfachen.

Merkmale wie iFrame-Sandboxing, Programmierschnittstellen für XMLHttpRequest und Web Storage, quellenübergreifendes Teilen von Ressourcen sowie erweiterte Markup-Möglichkeiten sind Merkmale einer leistungsfähigen Client-seitigen Entwicklungsumgebung.

Aufgrund der neuen Funktionen bietet die jüngste Version des De-facto-Standards zur Webseiten-Entwicklung aber auch einige Angriffsflächen. Prajakta Jagdale, eine Security-Expertin bei HP Fortify Software Security Research, hat die HTML5-basierten Sicherheitslücken mit teils bekannten Angriffsmethoden konfrontiert.

Cross-Site Request Forgery

Schutzmaßnahmen gegen Cross-Site Request Forgery (CSRF), dem Fälschen von Anfragen unterschiedlicher Sites mithilfe verschleierter Token, lassen sich mitunter völlig nutzlos machen. Hierfür können sich Cyberkriminelle besipielsweise die Funktion des quellenübergreifenden Teilens von Ressourcen (Cross-Origin Resource Sharing, CORS) zunutze machen.

Mit CSRF erschleichen sich Angreifer höhere Benutzerrechte, um so eine falsche Identität mit entsprechenden Zugriffsrechten vorspiegeln zu können. Man muss also die Verschleierung der Tokens beseitigen, um den wahren Ursprung des Tokens mit dem vorgespiegelten „legitimen“ Ursprung vergleichen zu können.

Unterschieden sich die Herkunftsangaben, liegt eine Fälschung durch CSRF vor. Header-Angaben helfen laut der Jagdale zwar, als besser geeignete Sicherheitsmaßnahme empfählen sich aber Einmal-Token.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42304348 / Mobile- und Web-Apps)