Cross Site Request Forgery, auch CSRF, XSRF oder Session Riding, bezeichnet einen Angriff, der eine konzeptionelle Schwäche des HTTP-Protokolls ausnutzt. Dabei werden dem Opfer Requests untergeschoben, die “normale” Zugriffe darstellen — also keine Code Injection ala Cross Site Scripting — mit dem Ziel, unsichtbar für das Opfer eine Aktion zu triggern. Ein schönes, harmloses Beispiel von der Wikipediaseite selbst:

http://de.wikipedia.org/w/index.php?title=Spezial:Userlogout

Dieser Request wird z.B. in einen Image Tag gepackt. Der Browser des Opfers, der eine Seite mit eben jener Bildreferenz lädt, führt einen Request mit den entsprechenden Credentials aus, da er vorher nicht wissen kann, dass sich hinter der Referenz zu dem Bild gar keins befindet.

Mit dieser Art von Angriff war es beispielsweise damals möglich, bei Plazes Freunde zu machen, in dem ein Bild mit entsprechendem Verweis eingebaut und Leuten per RSS untergeschoben wurde (siehe Eintrag Finding friends on teh intarweb). Bislang war es ohne weiteres nicht möglich, auf Clientseite viel dagegen zu tun, sondern man musste sich auf eine durchdachte Programmierung auf Anbieterseite verlassen.

Justus Winter und Martin Johns haben vor einiger Zeit das lesenswerte Paper Client Side Protection against Session Riding zum Thema verfasst und dort einen Proxy angekündigt, der dieser Tage veröffentlicht wurde. Request Rodeo, so der Name des Proxies, ist in Python geschrieben, setzt SQLite, Twisted und OpenSSL voraus und ist aus meiner allerersten Sicht schon gut zu benutzen. Request Rodeo strippt Credentials und Cookies aus Requests, die dort nix verloren haben und kann sowohl mit HTTP als auch HTTPS umgehen. Er hat bisher aber scheinbar noch Schwierigkeiten bei GZIP-komprimierten HTTP-Requests (Justus drückt sich einem Kommentar im README zufolge bisher wohl darum =)

Martin erwähnte Mitte des Jahres, dass zudem ein Plugin für Firefox geplant sei. Allerdings weiss ich nicht, ob der Plan noch steht.

Die beiden sind übrigens auf dem 23C3 mit dem Vortrag On XSRF and why you should care vertreten, in dem sie in aller Ausführlichkeit auf dieses Problem eingehen werden.

Der Fahrplan des 23. Chaos Communication Congress (23C3) ist nun in einer ersten Version online, die sich nur noch marginal ändern dürfte.

Durch eine … äh … Unpässlichkeit kann ich leider nicht am BarCamp in Köln teilnehmen. Schade eigentlich. Ich wollte eine Reihe von Talks halten, von denen nun wenigstens einer komplett ausfällt, nämlich der zum Thema Malware und “Web 2.0″. Dabei hatten Dan und ich einige niedliche Sachen gebaut, z.B. ein Script, mit dem man bei del.icio.us in den Notes verteilt base64-encodierte Informationen hinterlegt, mit Hilfe des JSON-Exports die Daten wieder ausliest und zu Binärdaten zurückverwandelt. Ein ähnliches Prinzip mit URL Pfaden und DNS TXT Records, um zu demonstrieren, wo man überall Malware hinterlegen kann ohne dass sie allzu schnell als solche auffällt, hatten wir auch vorbereitet. Keine Rocket Science sicherlich, aber doch interessant genug aus meiner Sicht. Dazu hatten wir noch reale Demos zu Cross Domain XHR und was man damit lustiges machen kann und einigen interessanten CRSF-Problemen in mehr oder weniger bekannten “Web 2.0″-Seiten. Geplant war noch etwas zu DNS Pinning und den grundsätzlichen Überlegungen zum Umgehen der Same Origin Policy von JavaScript vorzubereiten. Tja, hat nicht sollen sein. Vielleicht mach ich diesen Vortrag gekürzt einfach mal auf einem der nächsten Webmontage.

BeF wird wie es aussieht zumindest den Vortrag zu anonymen Publizieren halten.

Update: Dank des Uniklinikums Bonn konnte ich doch teilnehmen. War echt ‘ne gute und interessante Veranstaltung. Eine Sache, ich ich hier noch erwähnen sollte: Informationen zum 23. Chaos Communication Congress gibt es im 23C3-Wiki.

In der 16. Folge des CC2 (für Computerclub 2 — gemacht von den beiden Wolfgangs aus dem legendären WDR Computerclub) wird es um Wahlcomputer gehen. Durch die Beschreibung der nächsten Sendung habe ich erfahren, daß in Köln flächendeckend Nedap-Wahlmaschinen zum Einsatz kommen.

Eingladen ist Gerd Rütten vom Wahlamt der Stadt Köln. Allerdings gibt es kein Wort über die Petition, und obwohl kritische Töne durchschwingen scheint der Tenor trotzdem eher Pro-Wahlcomputer zu sein. Es gibt in dem Text auch eine seltsame Verbindung zu digitalen Signaturen, die ich nicht so ganz verstehe. Naja, in 3 Tagen wissen wir mehr.

[via Mellowbox]

Update: Tim hat sich mit der CC2-Ankündigung noch einmal genauer auseinander gesetzt und Mellowbox hat dem CC2 eine Emailanfrage gestellt.

Grade in Max’ Flickr Stream gesehen. Leider weiss ich nicht wie alt das ist, aber egal, das ist ja wohl die totale Frechheit.