OWASP-Hamburg Stammtisch: Vortrag online zu XS-Leaks am 24.2.

12 views
Skip to first unread message

Dirk Wetter

unread,
Feb 11, 2022, 10:45:04 AMFeb 11
to germany...@owasp.org, Lukas Knittel

Moin,

im Februar geht's weiter in Hamburg mit tieferen Einblicken in die Browser-Sicherheit.

Letztes Jahr wurde bei der ACM CCS ein Paper zu XS-Leaks vorgestellt. Da die Arbeit mit dem "Best Paper Award"
prämiert wurde und das Paper aus Deutschland kam, waren wir natürlich interessiert, das live und in Farbe
vorstellen zu können.


Nutshell/TLDR
=============
Vortragender: Lukas Knittel
Titel: "XS-Leak und XS-Search Angriffe"
Start: 18:30h
Lokation: online
Nachbereitung: Bleibt gerne nach dem Vortrag noch zum Schnacken / Remote-Beering etc

Abtract
=======
Die Same-Origin-Policy regelt, wie Webseiten miteinander interagieren dürfen. Cross-Site Leaks (XS-Leaks)
verwenden Bugs in den Browsern, um dennoch einzelne, kleine Details einer Webseite zu erkennen. Sind diese
Details an personenbezogene Daten gebunden, können diese geleakt werden. Beispielsweise kann so von einer
böswilligen Seite aus, E-Mails in einem Webmail-Postfach ausgelesen werden, weil die Suchfunktion sich
unterschiedlich verhält, je nachdem, ob es Ergebnisse zu einem Suchbegriff gab oder nicht.

Stichworte: Same-Origin-Policy, XS-Leaks, XS-Search, XSinator.com, new Security Headers (COOP,
CORP, SameSite Cookies), Challenge

Paper: https://xsinator.com/paper.pdf

Lukas ist Wis­sen­schaft­li­cher Mit­ar­bei­ter am Lehr­stuhl Netz- und Da­ten­si­cher­heit der RUB.


Wie komm ich da rein?
=====================
Wer nicht auf Meetup will, schicke mir bitte ne Mail. Der/die/* bekommt dann gerne die Zugangsdaten 1-2
Tage vorher. Subscriber vom OWASP-Hamburg-Meetup, die das RSVP ausgefüllt haben, werden die Video-Konferenz-
URL dann dort vorfinden. Wir sind aller Wahrscheinlichkeit nach wieder datenschutzfreundlich bei Cyber4edu
zu Gast (vielen Dank).

Macht es uns einfach und schaltet Bild und Ton spätestens dann aus, wenn Lukas spricht. Schaltet beides
später gerne wieder an, wenn wir beim gemütlichen Teil sind.

Generelles zum OWASP-Stammtisch
===============================
Bei unseren offenen Treffen geht es um Webanwendungen und deren Sicherheit und/oder IT-Security allgemein.
Es treffen sich Leute, die sich beruflich oder privat damit auseinandersetzen: Entwickler, Manager,
"Pentester" und alle an (Web)sicherheit interessierte. Die Atmosphäre ist offen und locker. Uns geht's
um den Erfahrungsaustausch. Wer Produkte oder Dienstleistungen verkaufen will, ist hier falsch.
Leitet gerne Kollegen oder Bekannte den Hinweis auf unser Treffen weiter. Alle Treffen sind frei,
für jeden offen und kostenlos.


Bis dann!

Dirk




--
OWASP Volunteer
Send me encrypted mails (Key ID 0x4D9CA7F2E2FA20B3)

Dirk Wetter

unread,
Feb 23, 2022, 6:41:40 AMFeb 23
to germany...@owasp.org
Moin,

hier die Erinnerung: das wäre morgen Abend, 18:30.

Auf Meetup wäre das Event hier:
https://www.meetup.com/OWASP-Hamburg-Stammtisch/events/283818715/

Wer sich nicht dort anmelden mag und die Zugangsdaten für den Konferenzraum
noch bräuchte, dem schicke ich diese auch gerne persönlich.


Schönen Tag

Dirk

Dirk Wetter

unread,
Feb 24, 2022, 12:27:35 PMFeb 24
to germany...@owasp.org
Reminder: Jetzt würde das losgehen
Reply all
Reply to author
Forward
0 new messages