Viel zu lange ist es her (nämlich fast 6 Jahre), dass wir das letzte Mal über das Thema „Security“ im Frontend gesprochen haben. Mit Frederik Braun (@freddyb) von Mozilla haben wir endlich wieder jemand zu Gast, der sich damit auskennt und der uns über neue fiese Tricks und aktuelle wie auch zukünftige Abwehrstrategien ins Bild setzen kann.
Schaunotizen
- [00:00:30] XSS und die HTML Sanatizer API
- Angefangen bei einer Begriffsdefinition von Cross-Site-Scripting, aka XSS, und ihrem historischen Einsatz arbeiten wir uns langsam vor zu den eher neueren Kategorien der „Script Gadgets (Video)“ (PDF) und der „Mutated XSS“ (Video) (Slides), bei denen im ersten Fall ein Frontend-Framework wie Bootstrap, und im zweiten die im Browser eingebauten (und standardisierten) HTML-Parser und -Serialisierer clever zu Komplizen gemacht werden. In solch einem Fall helfen einem Content Security Policy (CSP) oder auch Tools wie HTML Purifier, DOMPurify oder Bleach nicht. Und auch Chromes Konzept der Trusted Types dürfte für den Durchschnittsentwickler nicht geeignet sein. Deshalb arbeitet Frederik bei Mozilla neuerdings an einer in den Browser eingebauten HTML Sanitizer API, die all die oben beschriebenen Schwächen nicht hat (benötigt aktuell den Firefox Nightly mit aktiviertem
dom.security.sanitizer.enabled
-Flag inabout:configure
).
Kommentare
Frederic Hemberger #
Geschrieben am 20.10.2020 um 09:02
Schöne Folge mit einem schnellen Ritt quer durch den Security-Garten.
Ich hoffe, dass sich die Hörer:innen nicht durch die schiere Komplexität der einzelnen Möglichkeiten und Technologien abschrecken lassen. Auch wenn es nicht einfach ist, einen *zielgerichteten* Angriff durch motivierte Akteur:innen ohne weiteres aufzuhalten (und dass ja auch der Grund ist, wieso große Firmen wie Google, Facebook und Co. sehr viel Geld und Arbeit in das Thema stecken), kann man sich dennoch auch mit vergleichsweise einfachen Handgriffen schon mal das aller Gröbste vom Hals schaffen und Angreifern zumindest ein paar Steine in den Weg legen.
Es lohnt sich also auf jeden Fall, sich ein wenig mit dem Thema Sicherheit zu beschäftigen (auch wenn es dafür selten Projekt-Budget gibt) ?
Alex #
Geschrieben am 20.10.2020 um 21:40
Kompliment an den Gast. War für mich eine der besten Folgen in diesem Jahr. Freue mich auf den zweiten Teil.
RSS-Feed zu diesem Beitrag
Kommentare sind für diesen Beitrag geschlossen.