Mit HTML5 hält eine typische Server-Technik Einzug auf den Client: Die
SQL-Datenbank. Und ihre typische Schwachstelle bringt sie gleich mit:
SQL-Injection. Aber dagegen gibt es ja Prepared Statements mit
parametrisierten Aufrufen, und auch die bringt das API mit. In sofern ist
also eigentlich alles in Ordnung - man darf halt nur keine Fehler machen.
Im Local Storage können Sie 5-10 MB Daten dauerhaft auf dem Client
speichern. Und für diese Daten interessieren sich unter
Umständen auch die Cyberkriminellen.
Nach der
Einführung
und einigen
XSS-Angriffen
geht es in dieser Folge um einen weiteren Angriff auf und über HTML5:
Das Manipulieren von Formularen. Zuvor aber wieder der Hinweis, dass die
Texte hier im Blog dem Inhalt meines
Vortrags
auf der WebTech Conference 2012 folgen und natürlich bei weitem nicht
alle Gebiete der HTML5-Sicherheit abdecken. Das wäre ja auch
ziemlich ungeschickt, denn wer würde noch mein auf
deutsch
und
englisch
erhältlichen eBook "HTML5 Security" kaufen, wenn er alles kostenlos
hier im Blog lesen könnte?
Weiter geht es mit der kleinen Einführung in die Sicherheit von und mit
HTML5. An dieser Stelle sei noch einmal der Hinweis erlaubt, dass das
alles sehr viel ausführlicher in meinem auf
deutsch
und
englisch
erhältlichen eBook "HTML5 Security" beschrieben ist.
Die neuen Möglichkeiten, HTML5 für
XSS-Angriffe
zu nutzen, habe ich ja bereits angesprochen. Einen möglichen Angriffsvektor
möchte ich noch erwähnen, da der leicht übersehen wird:
Nicht jede Scalable Vector Graphic ist wirklich ein Bild