Page 1 of 1

Javascript side-channel attack

Posted: Thu Apr 23, 2015 10:47
by cane
Das ist heftig: Side-Channel-Attack in Javascript, die auf jedem HTML5-fähigen Browser läuft: http://arxiv.org/abs/1502.07373
allows a remote adversary recover information belonging to other processes, other users and even other virtual machines running on the same physical host
Full PDF: http://arxiv.org/pdf/1502.07373v2.pdf

Damit könnte man echt unschöne Dinge tun.

Also: Javascript OFF.

Re: Javascript side-channel attack

Posted: Thu Apr 23, 2015 20:36
by andy99
Ich warte nur das herauskommt, dass die NSA oder irgendwelche Freaks einen JS/HTML5 Code Schreiben, der sobald er im Browser abgelagen wurde Angriffe oder Scans ausführt.

So wie es aussieht soll ja zukünftig vom Server aus injizierter Code im Browser laufen.

Daher wollen Google und Co. auch die Latenz minimieren.

Erst Spdy, dann QUIC, dann will Facebook den Linux-Netzwerkstack optimieren.

Daher auch die Push Funktion seit SPDY.

Scheinbar werden bald Dinge in der Cloud berechnet und im Browser zu einem vollständigen Puzzle verrechnet.

Virtual Reality usw.

Mal gespannt wie Mozilla das auslesen und manipulieren von Dingen verhindern will, die mit der spionierenden oder angreifenden Seite gar nichts zu tun haben.

Die schaffen es ja nicht mal SafeCache oder SafeHistory zu integrieren.

Das SSL Disk-Caching scheint mittlerweile, wenn ich mich zuletzt nicht verguckt habe, auch standardmäßig aktiviert zu sein.

Und dieses TLS Handshake Caching von SPDY oder was das genau passiert stört mich ebenfalls.

Das dumme ist, dass bald ohne JavaScript überhaupt nichts mehr funktioniert.

Es wird ja bereits eine neue Sprache als Nachfolger für JavaScript, CSS, HTML5, SQL gehandelt, wie war nochmal der Name?

PHP und JAVA braucht dann auch niemand mehr.

Wenn ich dann noch diese Politik anschaue, alles aus Websprache zu bauen, wie bei FirefoxOS und Gnome bereits vorgeführt wird...

Alles keine schöne Entwicklung aus der Perspektive der Sicherheit.

Ich hoffe ich muss nicht irgendwann den Browser deinstallieren und 10-20 Slitaz VMs offen haben, wo immer nur eine Seite pro Browser besucht wird.

Von dieser Cloud Container Integration und LiveMigration will ich garnicht erst anfangen.

Immerhin wird das alles signiert und wir bekommen endlich standardmäßige Verschlüsselung.

Da muss man ja auch mal dankbar für sein.

Re: Javascript side-channel attack

Posted: Thu Apr 23, 2015 20:46
by xg27
andy99 wrote:
Ich hoffe ich muss nicht irgendwann den Browser deinstallieren und nur noch 10-20 Slitaz VMs offen haben, wo immer nur eine Seite pro Browser besucht wird.
Wenn von einer dieser Seiten dann ein Angriff ausgefuehrt wird der auch VM's durchbricht,dann hilft das auch nichts mehr....

Re: Javascript side-channel attack

Posted: Thu Apr 23, 2015 21:00
by andy99
xg27 wrote:Wenn von einer dieser Seiten dann ein Angriff ausgefuehrt wird der auch VM's durchbricht,dann hilft das auch nichts mehr....
Klar, aber das auf meinem aktuellen Debian auch noch die VM durchbrochen wird, traue ich höchstens Geheimdiensten zu.

Die können mich ehe mal, solange sie nicht Angriffe mit meinem Browser durchführen.

Wahrscheinlich würde es kurz darauf auffallen und ich würde auf einer Cyberterrorliste landen und erneut beschossen werden.

Dumbfucks!