Im
PHP Magazin 6.2014
ist ein Artikel über die Sicherheit der Grafikfunktionen von HTML5
erschienen.
Durch Timing-Angriffe lässt sich die Same Origin Policy unterlaufen,
es können sowohl die History als auch Websites anderer Domains
ausgespäht werden. So kann zum Beispiel im Quelltext einer anderen
Website gezielt nach CSRF-Token oder ähnlichen für einen
Angreifer interessanten Informationen gesucht werden.
Beim Canvas-Fingerprinting wird ausgenutzt, dass sich beim Rendern eines
vorgegebenen Texts vom Browser abhängige minimale Unterschiede
ergeben, aus denen sich ein Fingerprint des Browsers errechnen lässt.
Und daran kann dann der Benutzer (wieder)erkannt werden.
Und hier noch die Links und Literaturverweise aus dem Artikel:
Auch in dieser Folge geht es weiter um die Vorträge zu SCADA-Systemen und
Industriesteuerungen auf den Sicherheitskonferenzen "Black Hat" und "Hack
in the Box".
Nach den Konferenzen in den Jahren
2010/2011,
2011,
2012,
im
März,
April
und dem ersten Vortrag aus dem
August 2013
geht es weiter um Vorträge aus dem Jahr 2013. Genauer: Um den von Lucas
Apa und Carlos Mario Penagos auf der Black Hat USA 2013 gehaltenen
Vortrag, im dem sie Angriffe auf die drahtlose Kommunikation der
Industriesteuerungen vorgestellt haben.
Im
ersten Teil
ging es unter anderen um die Anforderungen an die Schlüsselverteilung
und die verschiedenen Arten von Schlüsseln, im
zweiten Teil
um die vom restlichen System unabhängige Verschlüsselung der
Kommunikation durch die verwendeten Funk-Module und im
dritten Teil
um die Schlüsselverteilung von ZigBee. Nach diesen Vorbereitungen ging es
in der
vorherigen Folge
um die ersten Schwachstellen in Industriesteuerungen. Und damit geht es
diesmal auch weiter.