Skip to content

Drucksache: PHP Magazin 6.2014 - Wie die Grafikfunktionen von HTML5 Ihre Sicherheit und Privatsphäre gefährden

Im PHP Magazin 6.2014 ist ein Artikel über die Sicherheit der Grafikfunktionen von HTML5 erschienen.

Durch Timing-Angriffe lässt sich die Same Origin Policy unterlaufen, es können sowohl die History als auch Websites anderer Domains ausgespäht werden. So kann zum Beispiel im Quelltext einer anderen Website gezielt nach CSRF-Token oder ähnlichen für einen Angreifer interessanten Informationen gesucht werden.

Beim Canvas-Fingerprinting wird ausgenutzt, dass sich beim Rendern eines vorgegebenen Texts vom Browser abhängige minimale Unterschiede ergeben, aus denen sich ein Fingerprint des Browsers errechnen lässt. Und daran kann dann der Benutzer (wieder)erkannt werden.

Und hier noch die Links und Literaturverweise aus dem Artikel:

"Drucksache: PHP Magazin 6.2014 - Wie die Grafikfunktionen von HTML5 Ihre Sicherheit und Privatsphäre gefährden" vollständig lesen

SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 8

Auch in dieser Folge geht es weiter um die Vorträge zu SCADA-Systemen und Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack in the Box".

Nach den Konferenzen in den Jahren 2010/2011, 2011, 2012, im März, April und dem ersten Vortrag aus dem August 2013 geht es weiter um Vorträge aus dem Jahr 2013. Genauer: Um den von Lucas Apa und Carlos Mario Penagos auf der Black Hat USA 2013 gehaltenen Vortrag, im dem sie Angriffe auf die drahtlose Kommunikation der Industriesteuerungen vorgestellt haben.

Im ersten Teil ging es unter anderen um die Anforderungen an die Schlüsselverteilung und die verschiedenen Arten von Schlüsseln, im zweiten Teil um die vom restlichen System unabhängige Verschlüsselung der Kommunikation durch die verwendeten Funk-Module und im dritten Teil um die Schlüsselverteilung von ZigBee. Nach diesen Vorbereitungen ging es in der vorherigen Folge um die ersten Schwachstellen in Industriesteuerungen. Und damit geht es diesmal auch weiter.

"SCADA-Systeme und Industriesteuerungen auf den Sicherheitskonferenzen ab 2013, Teil 8" vollständig lesen