Hallo,

Zum Beispiel dieser Beitrag über XSS (no, the other S) hat mich ebenso wie einige andere Beiträge überhaupt nicht überzeugt. Trivialer Unsinn, für den es m.E. keinen Vortrag braucht.

Du bezeichnest solche Angriffe als trivialen Unsinn?

http://www.nds.rub.de/media/emma/veroeffentlichungen/2012/08/16/scriptlessAttacks-ccs2012.pdf
http://contextis.co.uk/files/Browser_Timing_Attacks.pdf

das Problem beginnt doch schon sehr viel früher, und hat mit CSS erstmal nichts zu tun. Hier lassen sich Leute Schadcode unterschieben, das ist das Problem. Sehen wir uns aus dem verlinkten Dokument die Voraussetzung für solch eine Attacke doch mal an:

"Going back one step, we note that XSS attacks need to
meet three preconditions guaranteeing their success:"

1. Injectability: the attacker must be able to inject data
into the Document Object Model (DOM) rendered by
the Web browser.

2. Executability: if JavaScript (or any other code) is in-
jected, it must be executed.

3. Exfiltration Capability: attacker-harvested data must
be delivered to another domain or resource for further
analysis and exploitation.

Da stolper ich doch schon bei Punkt 1. Daten müssen in das DOM injeziert werden. Was soll ich davon jetzt halten? Richtet sich das an die Leute, die dachten, man müsse Fremd/Userinput nur nach "script" filtern, und alles ist gut? Gut, dann wissen diese Leute nach einem 30-minütigen Vortrag jetzt, dass man GRUNDSÄTZLICH und in JEDER UMGEBUNG Fremddaten nicht trauen darf und man diese kontextgerecht zu prüfen (,zu speichern) und auszugeben hat. Aber bitte, wer das nicht weiß: darf so jemand überhaupt Applikationen ins Netz stellen und damit scharf schießen? Die Info, dass auch CSS-Strukturen gefährlich sein können, _KANN_ ich zwischen einem Kaffee und einem Cräcker erschließen. _WIE_ ich das Problem dann aber angehe, nicht. Aber das wurde in dem Vortrag ja nun auch nicht sondernlich ausführlich beschrieben.

Punkt 2 ist sicherlich logisch und 3. zumindest sinnvoll für den Angreifer. Da muss man nicht weiter drauf eingehen.

Dieser Security-Paper gehören zu den wichtigsten, die in den letzten Jahren zu Browser-Sicherheit veröffentlicht wurden.

Ich persönliche kannte diese Paper schon vorher, trotzdem finde ich es wichtig, dass sie jemand auf einer CSS-Konferenz vorstellt. Darüber wird sonst nämlich nur auf dedizierten Security-Konferenzen wie z.B. https://appsec.eu/ gesprochen. Dort ist garantiert kein normalsterblicher Frontend-Entwickler anwesend.

Gut, vielleicht hast du recht. CSS-Leute sind nun mal auch irgendwo Webdesigner, die andere Präferenzen haben. Da habe ich etwas zu vorschnell und hart geurteilt. Allerdings sollten diese (Frontend-Designer/Entwickler) dann auch nicht für die Datenverarbeitung verantwortlich sein, vor allem nicht für die Prüfung, Speicherung und Ausgabe von Fremd(roh)daten.

Gibt es denn tiefere Weisheiten in einer "Sprache", die nichts anderes als Anweisungen bereitstellt, wie ein Element in einem gegebenen Ausgabemedium auszusehen hat? Ich denke, nein. Gute Güte, CSS-Konferenzen.... was es nicht alles gibt.

CSS ist mittlerweile sehr komplex. Webseiten-Layout ist sehr komplex. Wenn man die relevanten technischen Spezifikationen ausdrucken würde, könnte man ein ganzes Bücherregal füllen. Man nutzt mittlerweile einen Haufen an Software, um CSS zu erstellen und zu verarbeiten. Man nutzt verschiedene Patterns, um CSS sinnvoll zu strukturieren.

DAS weiß ich. Deshalb ärgere ich mich ja schon seit Jahren damit herum. Komplex bedeutet aber nicht, dass sie Weisheiten verbirgt, ich konnte zumindest keine entdecken. Gut, es gibt Semantiker, die argumentieren anders. Ich wollte CSS nicht schlecht machen. Tut mir Leid, falls ich Dir oder jemand anderem hier auf die Füße getreten bin.

humorlose Grüße

ach, übrigens, danke für die beiden Links. Sind tatsächlich nicht ganz uninteressant.