Wie der Name schon sagt geht es um die Sicherheit von JavaScript (und
HTML5, dass ja viele neue JavaScript-APIs mit bringt). Behandelt werden
XSS-Angriffe und deren Möglichkeiten, zum Beispiel der
Implementierung eines Rootkits für Webclients, der Kompromittierung
des lokalen SOHO-Routers oder dem Aufbau eines Broser-basierten Botnets.
Nicht zu vergessen die Möglichkeit, über XSS den Server zu
kompromittieren.
Angriffe über die Grafikfunktionen von HTML5, entweder um Daten
auszuspähen oder den Browser zu identifizieren.
Die Content Security Policy als gute Möglichkeit zur Abwehr von
Angriffen.
Vorgestellt werden verschiedene Angriffe rund um das UI und wie man sie
abwehrt. Die Themen im einzelnen sind
Logikfehler, durch die sich die Webanwendung anders verhält als
vom Entwickler gedacht.
Die Möglichkeiten zur sicheren Authentifizierung der Benutzer,
denn einfach nur Benutzername und Passwort abfragen reicht heute nicht mehr
aus. Zur wirklich sicheren Authentifizierung muss schon ein zweiter Faktor
hinzu gezogen werden, zum Beispiel der Google Authenticator.
Aktuelle Entwicklungen rund um das auch als UI-Redressing bezeichnete
Clickjacking.
Noch einmal geht es um den von Trammell Hudson entwickelten
Thunderstrike-Angriff,
den er auf dem 31. Chaos Communication Congress (31C3)
vorgestellt hat.
Er wird detailliert in einer
kommentierten Version
des 31C3-Vortrags (den es auch als
Video
auf YouTube gibt) vorgestellt. Außerdem gibt es eine
FAQ.
Im
ersten Teil
haben Sie erfahren, dass und wie die EFI-Firmware des Mac manipuliert
werden kann, wenn der Angreifer sich direkten Zugriff auf den ROM-Chip
verschafft. Also das Gerät öffnet und eigene Hardware mit dem Chip
verbindet. Im
zweiten Teil
stellte sich heraus, dass der Angriff auch ohne Öffnen des Geräts
möglich ist, es muss nur ein manipuliertes Thunderbolt-Gerät
angeschlossen werden. Darüber kann dann der für die Prüfung
der Signatur des Firmware-Updates verwendete öffentliche
Schlüssel von Apple gegen einen des Angreifers ausgetauscht werden.
Wie so ein Angriff ablaufen kann und welche Folgen er hat erfahren Sie
nun.