Cross Site Request Forgery – CSRF (Theorie)

In diesem Video die theoretischen Ausführungen zu Cross Site Request Forgery.

SemperVideo.de

SemperVideo.de

Auf unserer Website finden Sie viele Informationen, die “Bad Guys” negativ einsetzen könnten. “Good Guys” können sich mit diesen Informationen besser schützen. Die wichtige Frage ist also, ob die “Good Guys” sicherer sind, wenn wir diese Informationen nicht verbreiten.
Loading+ Video in die Merkliste



    • Kommentare zum Video

      Benachrichtigung
      avatar
      5000
      Sortiert nach:   neuste | älteste | beste Bewertung
      THWBM
      Zuschauer

      wie muss den der follständige html-code für den Youtube logout lauten? Kann
      mir bitte jemand helfen?

      ColdHeartedMan86
      Zuschauer

      @Dragonmaster047 Das trifft i.d.R. (gibt scripts die machen aus $_POST und
      $_GET eine variable) auf PHP zu – ASP kennt nur Request(“..”) da ist POST
      und GET eins;)

      ColdHeartedMan86
      Zuschauer

      @ZeroFire85 Aber was für eine Überprüfung? Browser sendet: GET ‘pfad’
      HŦŦP/1.1 ACCEPT:GIF,JPEG. Cookie:User=dau101 der Server bekommt das – wie
      soll er überprüfen ob die php(jedes server script eigentlich) ein Bild
      erzeugt, ohne dieses auszuführen. Sobald der Server dieses Script mit den
      notwendigen paramtern und cookies startet ist das geld von Paypal Konto A
      nach B transferiert. Wenn der server/browser dann merkt hoppla das ist kein
      Bild ist es zu spät.

      ColdHeartedMan86
      Zuschauer

      @ZeroFire85 Da geht man in ruhe grillen kommt wieder…: “Der Cookie wird
      beim reinen Request nicht mitgesendet sondern erst wenn die Seite geladen
      wird” Der Request ist die anfrage zum laden – defakto wird im Key “Cookie”
      die für die !!Domain!! relevanten Cookies übertragen. Das jetzt die Bilder
      von iX’ytimg’com keine Cookies von youtube com beinhalten liegt an der
      Domain. geh mal auf eine seite die selbst die bilder hosted und mach da die
      entwickler-tools an.

      hearthking
      Zuschauer

      Posteingang (437) ….. WTF

      nickficker20
      Zuschauer

      Diese Team sollte die Programmierung des Internet Explorers verwenden, dann
      wäre der auch mal was wert!

      SemperVideo
      Zuschauer

      @beyondnetwork Für den Fall, dass Sie die “Same-Origin-Policy” des Browsers
      meinen, die läßt sich einfach austricksen, wenn man den Code in ein iFrame
      packt. SOP gilt nicht für iFrames.

      beyondnetwork
      Zuschauer

      Hm…. also eigentlich haben die Browser einen domain-gesteuerten
      Schutzmechanismus. Sozusagen namespaces und an sich kann man als nicht
      youtube seite gar nicht auf youtube cookies zugreifen.

      ZeroFire
      Zuschauer

      @ColdHeartedMan86 Das is mir alles bekannt? Ich wollte nur dezent auf die
      fehlende Überprüfung von Images hinweisen. Das Problem ist hier im
      überringen nicht der Request. Der Cookie wird beim reinen Request nicht
      mitgesendet sondern erst wenn die Seite geladen wird und diese den Cookie
      anfordert. Das beides in einander übergeht ist klar, aber diese
      Unterscheidung sollte man schon treffen.

      HTP4all
      Zuschauer

      @ZeroFire85 Hallo und danke für deine statement :) . Du hast in soweit
      recht, dass der private Modus immer aktiv sein müsste. Was er auch bei mir
      tut. Zudem nutze ich BetterPrivacy um die letzten Spuren ebenfalls noch zu
      entfernen. Dies sollte soweit ausreichen. Die, wenn noch vorhandenen, alten
      cookies sind per Hand gelöscht und daher sollte es noch schwieriger sein.
      Trotzdem bin ich über weitere Schwachstellen bzw. Umgehungen gespannt.
      Danke und Grüße von HTP! | HTP4all