Drucksache: PHP Magazin 6.2014 - Wie die Grafikfunktionen von HTML5 Ihre Sicherheit und Privatsphäre gefährden
Im PHP Magazin 6.2014 ist ein Artikel über die Sicherheit der Grafikfunktionen von HTML5 erschienen.
Durch Timing-Angriffe lässt sich die Same Origin Policy unterlaufen, es können sowohl die History als auch Websites anderer Domains ausgespäht werden. So kann zum Beispiel im Quelltext einer anderen Website gezielt nach CSRF-Token oder ähnlichen für einen Angreifer interessanten Informationen gesucht werden.
Beim Canvas-Fingerprinting wird ausgenutzt, dass sich beim Rendern eines vorgegebenen Texts vom Browser abhängige minimale Unterschiede ergeben, aus denen sich ein Fingerprint des Browsers errechnen lässt. Und daran kann dann der Benutzer (wieder)erkannt werden.
Und hier noch die Links und Literaturverweise aus dem Artikel:
"Drucksache: PHP Magazin 6.2014 - Wie die Grafikfunktionen von HTML5 Ihre Sicherheit und Privatsphäre gefährden" vollständig lesen