mboost-dp1

unknown

Web 2.0 under angreb

- Via CBR - , redigeret af ZOPTIKEREN , indsendt af ZOPTIKEREN

Fortify Software påstår at have opdaget en ny slags sikkerhedshuller. De har valgt, at kalde dem for “JavaScript hijacking” og beskriver det således;

JavaScript Hijacking allows an unauthorized attacker to read sensitive data from a vulnerable application using a technique similar to the one commonly used to create mashups.

Ifølge Brian Chess, Fortify Softwares chief software architect er problemet, at man kan bruge andet end xml til, at transportere data fra webbrowseren til serveren og tilbage igen.





Gå til bund
Gravatar #1 - Scurvy Lobster
2. apr. 2007 20:36
Jeg tror jeg logger af nettet og gemmer mig under dynen til de har fået rettet denne grufulde trussel! :-P

Vi ses bare til Web 3.0! :-D
Gravatar #2 - LordMike
2. apr. 2007 21:16
Heh...

Computer / internet må være den mest problematiske nye teknologi at indføre siden telefonen....
Gravatar #3 - Andos
2. apr. 2007 21:40
Forstår ikke helt hvor sikkerhedshullet ligger. Ifølge artiklen er det fordi at man kan sende en slags javascript (JSON) som data i stedet for XML som browseren så ville stole blindt på... Men hvordan dælen vil de AJAX frameworks som er nævnt nogensinde komme til at sende/modtage sådan noget hvis det ikke var meningen? I så fald skal der i forvejen kunne indsættes javascript på en public hjemmeside der viser data fra andre (som f.eks. GMail). Da vil scriptet så kunne ændre en URL den bruger til at hente/sende data fra men så hjemmesiden jo alligevel hullet hvis den tillader at der postes javascript. Luk det hul, og du har også lukket for de andre. Men det er vel ok'ish at de gør de andre frameworks mere sikre på det led hvis en web-udvikler laver en brain-fart en eller anden gang.
Gravatar #4 - zumo
2. apr. 2007 21:43
#3 du kan hente javascriptet fra noget embeded flash du sætter ind på siden, og køre det på den måde. Lidt ligesom det XSS hul quicktime embeded på myspace sider lavede for et par uger siden.
Gravatar #5 - Windcape
2. apr. 2007 23:55
*yawn*

Intet nyt under solen.. klassisk whine. Jeg er for træt til at skrive en 50-100 linjers forklaring af problemet, og hvorfor det slet ikke er et problem.
Gravatar #6 - kungan
3. apr. 2007 05:32
Jeg får lyst til... argh.. kan.. ikke.. styre.. det...

Hacker Vs. Cracker?

Dette er jo trods alt newz.dk.. :-)
Gravatar #7 - angelenglen
3. apr. 2007 07:03
Den største trussel mod folks sindstilstand er begrebet "Web 2.0". -Kan vi ikke bare droppe det?
Gravatar #8 - vulpus
3. apr. 2007 10:03
#7 hvis begrebet kan fremme brugerindragelse på virksomheders web, fordi beslutningstagerne derved har noget konkret de kan hype, syntes jeg ikke det skal droppes. Det virker umiddelbart som om det er det, der er/har været tendensen.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login