You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
"title": "Sicherheitslücken – DOM Clobbering, XSS via CSS, ES6 Fallen",
19307
+
"description": "Wir haben uns kurz vor Heiligabend den <a href=\"http://mario.heideri.ch/\">Mario Heiderich</a> eingeladen, um über grauenvolle, abstruse und schier unlösbare Sicherheitslücken moderner Browser zu reden. Der richtige Stoff für besinnliche Weihnachtsstimmung und frohlockende Ausblicke ins neue Jahr!",
19308
+
"topics": [
19309
+
{
19310
+
"title": "DOM Clobbering, XSS via CSS, Template Injection, etc.",
19311
+
"time": "00:00:11",
19312
+
"description": "Mario Heiderich, ehemaliger Webentwickler, heutiger Security-Experte, erzählt uns von den ganzen, dunklen Seiten der modernen Webentwicklung, die verheerende Schäden anrichten können, ohne das wir uns richtig wehren können. So beschreibt er aktuelle Sicherheitslücken in den <a href=\"https://code.google.com/p/mustache-security/\">Template Engines</a> von AngularJS oder KendoUI und hält auch fest, dass diese Dinge gerne von den Bibliotheksherstellern auch mal auf die lange Bank geschoben werden (wie beispielsweise Frederic Hembergers <a href=\"https://github.com/jquery/jquery/pull/1506\">jQuery Pull Request</a> von “neulich” zeigt). Es gibt Hilfestellungen, wie beispielswiese Marios <a href=\"https://github.com/cure53/DOMPurify\">DOMPurify</a>, mit dem man Zeichenketten auf verdächtigen Code prüfen und gegebenenfalls bereinigen kann.<p></p>\n<p>Es muss allerdings nicht immer JavaScript sein. Mit CSS kann man mit Hilfe der <code>@-moz-document</code> Regel und Regular Expressions im Firefox ganz einfach <a href=\"https://html5sec.org/cssession/\">Session Token aus der URL klauen</a>. Mario erklärt ausserdem, wie man die Paint-Zyklen der Browser und CSS Filter dazu ausnutzen kann, um auf bestimmte Zeichen zu schließen, die der Benutzer eingibt. Zukünftige Spaßquelle bieten SVGs im Allgemeinen und <a href=\"https://html5sec.org/otfsvg/\">SVGs in Webfonts im Speziellen</a>.</p>\n<p>Ebenfalls lückenreich und angriffsanfällig ist der DOM. Mit <a href=\"http://de.slideshare.net/x00mario/in-the-dom-no-one-will-hear-you-scream\">In the DOM, no one will hear you scream</a> gibt es einen mittlerweile sehr bekannten Talk von Mario, der uns das Prinzip des DOM Clobbering näherbringt. Der Abwärtskompatibilität von HTML sei es geschuldet, dass man derartige Dinge überhaupt durchführen kann.</p>\n<p>Dass man allerdings auch mit kommenden Technologien allerlei Unfung anstellen kann, zeigt der Ausblick auf Template Strings in EcmaScript 6. Mario sieht sich in seiner Rolle für die nächsten Jahre auf jeden Fall beschäftigt.</p>\n<p>Abhilfe gewünscht? Mario lässt uns nicht im Schneeregen stehen, sondern gibt auch ein paar hilfreiche Schutzhinweise. Für hundertprozentige Absicherung empfiehlt die Workingdraft Crew eine Ausbildung zum Reisbauer auf dem zweiten Bildungsweg.</p>\n<p>Weitere Links zu den Themen, die besprochen wurden:</p>\n<ul>\n<li><a href=\"https://github.com/cure53/xss-challenge-wiki\">XSS CHallenge Wiki</a> von Mario</li>\n<li><a href=\"https://html5sec.org/\">Sicherheitslücken im Test auf html5sec.org</a></li>\n<li><a href=\"http://kangax.github.io/compat-table/es6/\">EcmaScript 6 Compatibilty Table</a></li>\n<li><a href=\"https://code.google.com/p/mustache-security/\">Mustache Security</a></li>\n</ul>\n<p>Zu guter Letzt gibt es noch einige Hinweise auf themenbezogene Konferenzen.</p>"
"description": "Schon wieder ein Flexbox Tutorial? Ja! Dieses zeigt allerdings interaktiv und ausführlich, was es mit den Properties <code>flex-grow</code>, <code>flex-shrink</code> und <code>flex-basis</code> auf sich hat."
"title": "Sicherheitslücken – DOM Clobbering, XSS via CSS, ES6 Fallen",
47
+
"description": "Wir haben uns kurz vor Heiligabend den <a href=\"http://mario.heideri.ch/\">Mario Heiderich</a> eingeladen, um über grauenvolle, abstruse und schier unlösbare Sicherheitslücken moderner Browser zu reden. Der richtige Stoff für besinnliche Weihnachtsstimmung und frohlockende Ausblicke ins neue Jahr!",
48
+
"topics": [
49
+
{
50
+
"title": "DOM Clobbering, XSS via CSS, Template Injection, etc.",
51
+
"time": "00:00:11",
52
+
"description": "Mario Heiderich, ehemaliger Webentwickler, heutiger Security-Experte, erzählt uns von den ganzen, dunklen Seiten der modernen Webentwicklung, die verheerende Schäden anrichten können, ohne das wir uns richtig wehren können. So beschreibt er aktuelle Sicherheitslücken in den <a href=\"https://code.google.com/p/mustache-security/\">Template Engines</a> von AngularJS oder KendoUI und hält auch fest, dass diese Dinge gerne von den Bibliotheksherstellern auch mal auf die lange Bank geschoben werden (wie beispielsweise Frederic Hembergers <a href=\"https://github.com/jquery/jquery/pull/1506\">jQuery Pull Request</a> von “neulich” zeigt). Es gibt Hilfestellungen, wie beispielswiese Marios <a href=\"https://github.com/cure53/DOMPurify\">DOMPurify</a>, mit dem man Zeichenketten auf verdächtigen Code prüfen und gegebenenfalls bereinigen kann.<p></p>\n<p>Es muss allerdings nicht immer JavaScript sein. Mit CSS kann man mit Hilfe der <code>@-moz-document</code> Regel und Regular Expressions im Firefox ganz einfach <a href=\"https://html5sec.org/cssession/\">Session Token aus der URL klauen</a>. Mario erklärt ausserdem, wie man die Paint-Zyklen der Browser und CSS Filter dazu ausnutzen kann, um auf bestimmte Zeichen zu schließen, die der Benutzer eingibt. Zukünftige Spaßquelle bieten SVGs im Allgemeinen und <a href=\"https://html5sec.org/otfsvg/\">SVGs in Webfonts im Speziellen</a>.</p>\n<p>Ebenfalls lückenreich und angriffsanfällig ist der DOM. Mit <a href=\"http://de.slideshare.net/x00mario/in-the-dom-no-one-will-hear-you-scream\">In the DOM, no one will hear you scream</a> gibt es einen mittlerweile sehr bekannten Talk von Mario, der uns das Prinzip des DOM Clobbering näherbringt. Der Abwärtskompatibilität von HTML sei es geschuldet, dass man derartige Dinge überhaupt durchführen kann.</p>\n<p>Dass man allerdings auch mit kommenden Technologien allerlei Unfung anstellen kann, zeigt der Ausblick auf Template Strings in EcmaScript 6. Mario sieht sich in seiner Rolle für die nächsten Jahre auf jeden Fall beschäftigt.</p>\n<p>Abhilfe gewünscht? Mario lässt uns nicht im Schneeregen stehen, sondern gibt auch ein paar hilfreiche Schutzhinweise. Für hundertprozentige Absicherung empfiehlt die Workingdraft Crew eine Ausbildung zum Reisbauer auf dem zweiten Bildungsweg.</p>\n<p>Weitere Links zu den Themen, die besprochen wurden:</p>\n<ul>\n<li><a href=\"https://github.com/cure53/xss-challenge-wiki\">XSS CHallenge Wiki</a> von Mario</li>\n<li><a href=\"https://html5sec.org/\">Sicherheitslücken im Test auf html5sec.org</a></li>\n<li><a href=\"http://kangax.github.io/compat-table/es6/\">EcmaScript 6 Compatibilty Table</a></li>\n<li><a href=\"https://code.google.com/p/mustache-security/\">Mustache Security</a></li>\n</ul>\n<p>Zu guter Letzt gibt es noch einige Hinweise auf themenbezogene Konferenzen.</p>"
"description": "Schon wieder ein Flexbox Tutorial? Ja! Dieses zeigt allerdings interaktiv und ausführlich, was es mit den Properties <code>flex-grow</code>, <code>flex-shrink</code> und <code>flex-basis</code> auf sich hat."
0 commit comments