Alles andere als ausgezeichnet

HTML5 bietet neue Angriffsflächen

Seite: 3/3

Firmen zum Thema

Local Storage

Die Web-Storage-API bietet Möglichkeiten, auf dem Client Inhalte zu speichern. Aber wenn diese Lokation nicht angemessen geschützt oder konfiguriert wird, bieten sie dem Angreifer Einfallstore, um vertrauliche Daten zu stehlen. Local Storage ist also eine Sache des Datenschutzes, wenn dabei Benutzername und Passwort im Klartext abgelegt werden.

Bei Cookies mag das ja noch angehen, solange sie am Ende der Sitzung gelöscht werden, aber was ist, wenn ein Browser oder Request „unlimited storage“ verlangt? Jagdale führte Google Chrome als Bösewicht in dieser Hinsicht an. Eine Technik, die laut der Expertin niemals genutzt werden sollte, ist jQuery, laut Wikipedia eine der verbreitetsten Java-Bibliotheken im Web, etwa um AJAX-Apps zu entwickeln. Seit April 2013 gibt es jQuery 2.0, das Internet Explorer 6 bis 8 nicht mehr unterstützt.

Bildergalerie
Bildergalerie mit 8 Bildern

Offline-Applikationen

HTML5 unterstützt auch Anwendungen, die vorübergehend offline gehen können (etwa in Chrome) und dabei im Cache des Browsers eine Ladeliste („manifest“) ablegen. Darin stehen interessante Dinge wie Skriptnamen, Dateinamen und vieles mehr. Jagdale befiehlt aus Gründen des Datenschutzes: „Do! Not! Cache!“ Der Cache lässt sich nämlich auch quasi „vergiften“, also manipulieren, um etwa eine Denial-of-Service-Attacke zu starten. Abhilfe schaffe die regelmäßige Auffrischung des Offline-Caches, um so alte oder gefährliche Inhalte zu löschen.

Einfallstor Markup

Auf der Markup-Seite erweitern neue Tags und Attribute die Angriffsfläche von Anwendungen, die sich noch auf Blacklisting als Schutz gegen Cross-Site-Scripting (XSS), eine der häufigsten Angriffsmethoden, verlassen. Laut Jagdale lassen sich mit folgenden Tags und Attributen solche Filter leicht umgehen, indem man sie als Injektionsvektoren missbraucht:

• onerror

• oninput

• input

- onfocus

- onblur

- autofocus

• body

- onscroll

- autofocus

• button

- onforminput

- onformchange

Ein entsprechender Spickzettel findet sich auf html5sec.org. Auf diesem Spickzettel (cheat sheet) sind die anfälligen Browser-Versionen aufgelistet sowie Vorbeugungsmaßnahmen erläutert. Der Entwickler sollte sie möglichst beherzigen.

(ID:42304348)