Oktober 2008
Interview mit Security-Spezialist Carsten Eilers: Mashups sind ein "heißes Eisen"
Live von der AJAX in Action
CREATE OR DIE: Ajax macht aus so mancher lahmen Website eine schnieke Präsenz. Das Thema Security wird aber oft "nicht für voll genommen". Zurecht oder ist alles halb so wild?
Carsten Eilers: Das Thema Security wird eindeutig zu sehr auf die leichte Schulter genommen. Als vor einer gefühlten halben Ewigkeit die kommerzielle Nutzung des Web begann, hat sich auch niemand Gedanken über Sicherheitsfragen gemacht. Damals war ja alles neu und man wusste es nicht besser.
Bald darauf gab es die ersten Angriffe und die Leute haben auf die harte Tour gelernt, dass ihre ungeschützten Seiten ein leichtes Ziel sind. Seitdem hat sich im Bereich Sicherheit sehr viel getan, aber auch die Angriffe sind sehr viel ausgefeilter geworden. Inzwischen haben die Cyberkriminellen viele Erfahrungen gesammelt und warten nur darauf, ein lohnendes Ziel ohne ausreichenden Schutz zu finden.
Seit Anfang des Jahres gab es mehrere Wellen von SQL-Injection-Angriffen, bei denen eigentlich harmlose Websites für "Drive-by Infections" präpariert wurden.
Das Ziel sind also nicht mehr nur die Webserver, sondern inzwischen viel mehr deren Benutzer. Und jetzt kommt Ajax ins Spiel. Die Clients sind heutzutage sehr viel mächtiger als noch vor ein paar Jahren. Das ermöglicht neue Angriffe auf die Benutzer, eine ganz neue Entwicklung ist da das Clickjacking.
Und außerdem werden auch die Webanwendungen selbst angreifbarer: Wenn ich einen Teil meiner Businesslogik in den Client auslagere, gebe ich sie auch dem Angreifer in die Hand. Der kann sie nach Belieben manipulieren, und wenn der Serverteil dem Client vertraut, kann das gewaltig schief gehen.
Spätestens, wenn eine Website erfolgreich wird, und das wollen doch wohl alle werden, zieht sie Angreifer an wie das Licht die Motten. Wer dann nicht darauf vorbereitet ist, wird das schnell bereuen.
Create OR DIE: Schaut man sich heute sicherheitsorientierte Webseiten im Netz an, fehlt diesen oftmals die Ästhetik. Kann sicher denn nicht gleichzeitig auch schön sein?
Carsten Eilers: Ist es das denn nicht?
Erst mal ist Schönheit Geschmackssache, aber ich weiß, was du meinst: Die meisten sicherheitsorientierten Seiten sind eher Web 1.0 als Web 2.0. Das dürfte vor allem zwei Gründe haben:
- Da ist zum einen die Zielgruppe, die ja meist mehr aus dem technischen Bereich kommt. Da zählen Informationen, kein schönes Drumherum.
- Und dann sollen die Seiten möglichst immer und für jeden erreichbar sein. Stell dir vor, es gibt eine Schwachstelle, die das Ausschalten von JavaScript unumgänglich macht. Gerade Security-Seiten müssen auch dann noch funktionieren. Es wäre doch ziemlich peinlich, wenn man JavaScript erst einschalten muss, um dann auf der nächsten Seite zu lesen, dass man es sicherheitshalber sofort ausschalten soll.
CREATE OR DIE: Mashups werden derzeit ebenfalls gerne gesehen. Geht hier alles mit sicheren Dingen zu oder muss man nicht besondere Vorsicht walten lassen, mischt man Inhalte aus verschiedenen Quellen?
Carsten Eilers: Mashups sind aus Sicherheitssicht ein besonders heißes Eisen. Da werden Daten aus verschiedenen, mitunter auch weniger vertrauenswürdigen Quellen gemischt und unter dem eigenen Namen ins Web gestellt. Das ist wie in der Chemie: Wenn ein Gemisch in die Luft fliegt, ist der Mischer zuerst dran. Ist im Mashup etwas Strafbares, bekommt das zuerst der Betreiber des Mashups zu spüren.
Egal ob das jetzt z.B. eine Beleidigung ist, eingefügte Schadsoftware, was auch immer – der Geschädigte wird sich immer zuerst an den Mashup-Betreiber wenden. Und ein einfaches "Ich war‘s nicht, sonder xyz" reicht dann unter Umständen als Verteidigung nicht aus.
Dann stehen Mashups im Widerspruch zur Same-Origin-Policy: JavaScript-Code darf nur mit dem Server Kontakt aufnehmen, von dem er geladen wurde. Das wurde so eingeführt, nachdem es die ersten JavaScript-Angriffe gab, und bisher hat sich das auch bewährt. Beim Mashup stört es aber, da der JavaScript-Code nur mit dem Mashup-Server kommunizieren darf und nicht mit seinem Herkunftsserver. Als Lösung wird meist ein Proxy verwendet, der die Kommunikation zum jeweiligen Empfänger weiterleitet. Der kann natürlich auch missbraucht werden, und plötzlich landen z.B. die Zugangsdaten von Dienst A beim bösen Server B. Man muss also sehr genau aufpassen, was man da mischt.
Und auch aus Sicht der Mashup-Komponenten ist das Ganze nicht ohne Nebenwirkungen: Angriffe oder Verstöße gegen die eigenen Nutzungsbedingungen, die über ein Mashup erfolgen, kann man selbst nur dem Mashup-Server zuordnen, nicht dem eigentlichen Angreifer. Solange der Mashup-Betreiber notfalls die notwendigen Daten für eine Verfolgung des Angreifers bereitstellt, ist das kein Problem. Wenn er das aber nicht kann/will/darf, wird es schwierig.
CREATE OR DIE: Ein Sicherheitssupergau aus deiner Sicht, was wäre das? Darf man so eine Frage überhaupt einem Security-Spezi stellen?
Carsten Eilers: Natürlich darf man die Frage stellen. Im Prinzip ist es ja unser Job, die Ideen der bösen Buben vor denen zu haben. Nur verraten sollte man sie dann nicht.
Sicherheitssupergau – ganz allgemein formuliert: Eine 0-Day-Schwachstelle in einer weit verbreiteten Software, die sehr einfach auszunutzen ist, um beliebigen Code auszuführen, die aber nur sehr schwer zu beheben ist und für die es keinen praktikablen Workaround gibt.
Also irgendwas, bei dem sofort sehr viele Rechner gefährdet sind und gegen das man kaum etwas machen kann. Etwas, bei dem sich schnell mehrere Würmer oder auch manuelle Angreifer ein Wettrennen liefern und man nur hilflos zugucken kann, wenn man nicht das Internet abschalten will.
CREATE OR DIE: Mal Hand aufs Herz, bist du gerne der Gute oder wärst du lieber der böse Hacker?
Carsten Eilers: Eindeutig der Gute. Böses tun liegt mir überhaupt nicht, außerdem sind hinter bösen Menschen viel zu viele Leute her.
CREATE OR DIE: Carsten, vielen Dank für das Gespräch!
Carsten Eilers auf der AJAX in Action.
Das Interview mit Carsten Eilers führte Felix Schrader.
Bisher keine Kommentare
ajax in action
Verwandte Inhalte
Bester Kommentar
Letzte Kommentare
- Coole Nerd T-Shirts gewinnen! von Jörn
- Verkorkste Premiere? Social-TV-Sendung Rundshow steckt Prügel ein von Nicole Haase
- Neun iOS-Touch-Display-Gesten und ihre Namen von ToM
- Fehler auf iPad-Plakat: Wir haben das Foto nachgestellt [Update] von Bernhard
- Peinliche Panne in aktueller iPad-Werbung von Apple [Bilder] von Mikael
Artikel
Kolumnen
Buchtipps
Snippets
Whitepaper
Buchtipps / Archiv
Spontaneous Sculptures
COD gibt 10 Punkte!
