XST (Cross Site Tracing) Gefahr heute

#0
27.09.2008, 23:10
...neu hier

Beiträge: 1
#1 Hey!

Ich hab mich zuletzt ein wenig mit dem Thema Cross Site Tracing beschäftigt. Das Thema ist ja ansich ein alter Hut und TRACE requests von Skriptsprachen werden üblicherweise auch meistens schon geblockt.

Da nun das Thema httponly Cookies mit der Implementierung in FF3 wieder ein wenig aufkommt, würde mich interessieren, wie die Gefahrenlage heute aussieht. Gibt es XST (in veränderter Form) noch oder sind httponly Cookies inzwischen gegen XSS Exploits gefeit? Und wenn ja, mit welchen Security Updates wurde die Gefahr gebannt, also seit wann werden zB im IE Trace Requests geblockt? Und wenn nein, welche Methoden sind heutzutage noch möglich, um auf Skriptseite einen TRACE request abzusetzen?

Würd mich freuen, wenn mich einer über die aktuelle Situation aufklären könnte, hab leider überwiegend alte Literatur zu dem Thema gefunden.



so long
Renegade
Seitenanfang Seitenende
28.09.2008, 19:22
Member

Beiträge: 3306
#2 Passt zwar nicht so ganz hier rein aber hier gibt es zwei sehr interessante Artikel zum Thema XSS und dem bis dahin mir bisher unbekannten Cross-site request forgery (CSRF bzw. XSRF):
Cross-Site Request Forgeries and You
Protecting Your Cookies: HttpOnly
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Dieser Beitrag wurde am 28.09.2008 um 19:25 Uhr von asdrubael editiert.
Seitenanfang Seitenende