Wie bereits erwähnt lehnt sich diese kleine Serie zur Sicherheit von
HTML5 an meinen
Vortrag
auf der WebTech Conference 2012 an. Womit auch schon das aktuelle Thema
vorgegeben ist: Die mit HTML5 eingeführte Methode
postMessage().
Traditionell werden zum Jahresende Prognosen für das Folgejahr
veröffentlicht. Das ist im Bereich der IT-Sicherheit eigentlich ganz
einfach, man muss nur den Grundsatz von
Bernd dem Brot
abwandeln: "Alles wird wie immer, nur schlimmer"
Der Beweis: Es geht schon los! Ich habe drei "Standpunkt"-Texte dieses
Jahres aufgegriffen und auf ihre Aktualität untersucht.
WebSockets dienen dem Aufbau bidirektionaler Verbindungen. Auch das muss
sicher geschehen. Darüber hinaus haben die WebSockets aber noch einen
gewaltigen Nachteil (um es mal höflich zu formulieren).
Eran Kalige von Versafe und Darrell Burkey von Check Point Software
Technologies haben eine Fallstudie zu einem groß angelegten Angriff
auf Onlinebanking-Nutzer veröffentlicht: "A Case Study of
Eurograbber: How 36 Million Euros was Stolen via Malware" (Download
als
PDF).
Mehr als 30.000 Bank-Kunden in Europa wurden insgesamt mehr als 36
Millionen Euro gestohlen.
Cross Origin Requests heben den wichtigsten (um nicht zu sagen einzigen)
Schutz der Webbrowser vor bösartigen JavaScript-Code teilweise auf:
Die Same Origin Policy (die ich
hier
genauer erkläre). Sie verhindert, dass eingeschleuster Schadcode
hemmungslos mit einem Server des Angreifers kommunizieren kann, stört
mitunter aber auch bei harmlosen Anwendungen. HTML5 schafft dafür durch
das Cross Origin Resource Sharing Abhilfe.
Der wichtigste (und eigentlich einzige) Schutz der Webbrowser vor
bösartigen JavaScript-Code ist die Same Origin Policy. Vereinfacht
besagt sie: "Jeder JavaScript-Code darf nur mit dem Server
kommunizieren, von dem er geladen wurde". Das verhindert, dass
eingeschleuster JavaScript-Schadcode hemmungslos mit einem Server des
Angreifers kommunizieren kann, stört mitunter aber auch bei harmlosen
Anwendungen.
Brian Krebs
berichtet,
dass auf dem Schwarzmarkt ein Exploit für eine bisher unbekannte
Schwachstelle in Java angeboten wird. Vermutlich dürften die
Entwickler des
sich auf Java spezialisierenden
Exploit-Kits Gong Da / Gondad Interesse an dem Exploit haben. Generell
nehmen Angriffe auf bzw. über Java ja seit einiger Zeit ständig
zu und Java hat Adobe Reader und Flash Player bereits den Spitzenplatz bei
den ausgenutzten Programmen streitig gemacht. Sollte es jetzt auch dem
Spitzenplatz bei 0-Day-Exploits an den Kragen gehen?