Mit HTML5 hält eine typische Server-Technik Einzug auf den Client: Die SQL-Datenbank. Und ihre typische Schwachstelle bringt sie gleich mit: SQL-Injection. Aber dagegen gibt es ja Prepared Statements mit parametrisierten Aufrufen, und auch die bringt das API mit. In sofern ist also eigentlich alles in Ordnung - man darf halt nur keine Fehler machen.
Im Local Storage können Sie 5-10 MB Daten dauerhaft auf dem Client speichern. Und für diese Daten interessieren sich unter Umständen auch die Cyberkriminellen.
Nach der Einführung, den XSS-Angriffen und dem Angriff auf Formulare geht es nun um Angriffe auf lokale gespeicherte Daten, konkret die
Nach der Einführung und einigen XSS-Angriffen geht es in dieser Folge um einen weiteren Angriff auf und über HTML5: Das Manipulieren von Formularen. Zuvor aber wieder der Hinweis, dass die Texte hier im Blog dem Inhalt meines Vortrags auf der WebTech Conference 2012 folgen und natürlich bei weitem nicht alle Gebiete der HTML5-Sicherheit abdecken. Das wäre ja auch ziemlich ungeschickt, denn wer würde noch mein auf deutsch und englisch erhältlichen eBook "HTML5 Security" kaufen, wenn er alles kostenlos hier im Blog lesen könnte?
Weiter geht es mit der kleinen Einführung in die Sicherheit von und mit HTML5. An dieser Stelle sei noch einmal der Hinweis erlaubt, dass das alles sehr viel ausführlicher in meinem auf deutsch und englisch erhältlichen eBook "HTML5 Security" beschrieben ist.
Die neuen Möglichkeiten, HTML5 für XSS-Angriffe zu nutzen, habe ich ja bereits angesprochen. Einen möglichen Angriffsvektor möchte ich noch erwähnen, da der leicht übersehen wird: