Tag-Archive for » Webworker «

HTTP-Header verwirren Internetserver

James Kettle von der Firma Portswigger hat auf der Black-Hat-Konferenz in Las Vegas unter dem Titel „Targeting HTTP’s Hidden Attack-Surface“ zahlreiche Varianten von sogenannten Server-Side-Request-Forgery-Angriffen (SSRF) gezeigt.

Der Sicherheitsforscher setzte dabei vor allem darauf, mit intelligent gewählten HTTP-Headern Webserver und Loadbalancer durcheinander zu bringen.

SSRF-Angriffe in der Praxis

Kettle demonstrierte einige Angriffe, die darauf basieren, an einen Server einen HTTP-Request mit ungültigem Host-Header zu abzusenden. Viele Systeme leiten solche Anfragen einfach nur weiter, ganz egal, wohin sie gehen. Bei Yahoo gelang es zum Beispiel auf diese Weise, Zugriff auf ein internes System zu erlangen. Im Host-Header wurde dazu einfach eine interne IP eingefügt.

Das Yahoo-System sprach offenbar nicht HTTP, sondern ein einfaches, zeilenorientiertes Protokoll. Dabei wurde die Antwort dieses Systems auch zurückgeschickt. So führte ein HTTP-Request mit der normalerweise nicht existenten Help-Methode dazu, dass das System, bei dem es sich um einen Apache Traffic Server und eine Software zum Cachen von HTTP-Verbindungen handelte, eine Hilfe ausgab. Mit seinem Angriff hätte Kettle Daten direkt in den internen HTTP-Cache von Yahoo schreiben können…

Britisches Zensursystem antwortet auf Header

Bei einem von ihm selbst kontrollierten Server bekam Kettle Antworten, allerdings nur bei HTTP- und nicht bei HTPS-Verbindungen. Die Antwort kam allerdings nicht von seinem eigenen System, sondern von dem britischen Zensursystem, das früher mal Bilder zum Kindesmissbrauch blockieren sollte und inzwischen hauptsächlich für die Verfolgung von Copyright-Verstößen benutzt wird.

Für Webworker mit Verantwortung für Internetserver könnte es eine gute Idee sein, einmal zu testen, wie die eigenen Server auf solche Header reagieren.

Quic – die schnelle Alternative zu HTTPS

switchesandrewhartflickrccbysa2Zeit ist Geld – und deshalb hat Google erfolgreich versucht, die Verschlüsselung über TCP-Verbindungen durch das Quic-Verfahren zu ersetzen.

Denn das ist wesentlich schneller als die umständliche TCP-Variante, die zwischen das Transport Control Protol (TCP) zum reinen Datentransport und die Webanwendung mit ihrem Hypertext Transfer Protocol (HTTP) noch eine zusätzliche Transport Layer Security (TLS) eingesetzt wird – und das alles zusammen braucht weit mehr Zeit als das schnelle Quic (Quic UDP Internet Connections), das bei verschlüsselten Internetseiten deutlich schnellere Reaktionszeiten und letztlich auch viel schneller ladende Webseiten erlaubt.

Die Internet Engineering Task Force will jetzt das neue Protokoll zum Internet-Standard führen. Für Webworker, die genauer wissen möchten, wie das funktioniert, hat Golem Quic in einem ausführlichen aktuellen Artikel erklärt.

Foto: AndrewHart, Flickr, CC BY-SA 2.0

Apple wegen fehlender HTML5-Unterstützung verklagt

nexediWer als Webworker auch für die Apple-Welt programmiert, hat sich vermutlich auch schon häufig über die mangelnde HTML5-Unterstützung des Apple-Browsers Safari geärgert.

Die französische Firma Nexedi, die ERP-Software auf HTML5-Basis erstellt, will es jetzt wissen und hat vor einem Zivilgericht in Paris Klage gegen Apple eingereicht. Wie Challenges.fr schreibt, will das Unternehmen damit erreichen, dass Apple seine HTML5-Implementation in Safari unter iOS verbessert.

Das Unternehmen führt dazu auf seiner Website Tests vor, nach denen Apples Safari aktuell gegenüber anderen Browsern wie Chrome, Opera Mobile, Edge oder Firefox Mobile hinterherhinkt.

Unter anderem wird die Klage mit der Argumentation begründet, ein Supermarkt dürfe Marken auch nicht vorschreiben, nur Bohnen zu verkaufen, die mit den Samen des Supermarktes erzeugt worden seien. Die Erfolgsaussichten der Klage sind schwer zu beurteilen – der erste Verhandlungstermin ist für den 4. Februar 2017 anberaumt.

Blender 2.78 rendert Stereo-VR

blender2-78Wer als Webworker häufig mit 3D-Animationen arbeitet, wird an einer neuen Blender-Version Freude haben. Die neueste Version 2.78 des Open-Source-3D-Pakets kann nun auch Panoramen für Stereo-VR ausgeben.

Dieser Teil des Projekts wurde von Google unterstützt. Als Test wurde die erste Szene des Open Movie „Caminandes“ in VR gerendert und kann auf YouTube angesehen werden.

Cycles kann jetzt auch mit Grafikkarten der 10xx-Serie von Nvidia über das CUDA Toolkit 8.0 umgehen. Für ältere Karten wird das Toolkit in Version 7.5 genutzt. Die bisher eher schlechte Render-Performance von GeForce-980-ti- und Titan-X-Karten verbessert Blender 2.78 ebenfalls.

Der Grease Pencil 2D-Zeichnungen direkt im 3D-Raum kann erstellen und animieren. Teile des Werkzeugs wurden in der neuen Version von Grund auf neu konzipiert: Dicke, Deckkraft, Jitter und andere Parameter reagieren jetzt auf druckempfindliche Grafiktabletts und Tablets. Es werden fünf verschiedene Voreinstellungen mitgeliefert, eigene lassen sich zusätzlich definieren.

Blender 2.78 läuft unter Windows, OS X und Linux und kann ab sofort heruntergeladen werden.

Meistgenutzte Programmiersprachen: JavaScript und Java

GithubLangages201508Der webbasierte Filehosting-Dienst für Software-Entwicklungsprojekte Github hat die populärsten dort genutzten Programmiersprachen nach Häufigkeit ihrer Benutzung in den dort gehosteten Projekten bewertet.

Das Resultat ist die nebenstehende Tabelle. Aktueller Top-Favorit ist eindeutig Javascript – gefolgt von Java.

Wer als Webworker gelegentlich in interaktiven Seiten auch programmieren muss, stellt sich ja regelmäßig die Frage, ob er das Coding in PHP oder JaveScript oder gar im früher proprietären Microsoft-Dialekt C# erledigen sollte.

Daß man eine Programmiersprache gut beherrscht, darf heute nicht mehr der Hauptgrund für die Auswahl sein. Die Github-Tabelle kann hier helfen, sich an den Präferenzen anderer Programmierer zeitgemäßer Projekte zu orientieren.

Weitere Informationen zur Entwicklung der einzelnen Sprachen finden Sie bei Heise.