Hi,

this time we have an online event in German.

Letztes Jahr wurde bei der ACM CCS ein Paper zu XS-Leaks vorgestellt. Da die Arbeit mit dem "Best Paper Award" prämiert wurde und das Paper aus Deutschland kam, waren wir natürlich interessiert, das live und in Farbe vorstellen zu können.

Nutshell/TLDR

Vortragender: Lukas Knittel
Titel: "XS-Leak und XS-Search Angriffe"
Start: 18:30h
Lokation: online
Nachbereitung: Bleibt gerne nach dem Vortrag noch zum Schnacken / Remote-Beering etc

Abtract

Die Same-Origin-Policy regelt, wie Webseiten miteinander interagieren dürfen. Cross-Site Leaks (XS-Leaks) verwenden Bugs in den Browsern, um dennoch einzelne, kleine Details einer Webseite zu erkennen. Sind diese Details an personenbezogene Daten gebunden, können diese geleakt werden. Beispielsweise kann so von einer böswilligen Seite aus, E-Mails in einem Webmail-Postfach ausgelesen werden, weil die Suchfunktion sich unterschiedlich verhält, je nachdem, ob es Ergebnisse zu einem Suchbegriff gab oder nicht.

Stichworte: Same-Origin-Policy, XS-Leaks, XS-Search, XSinator.com, new Security Headers (COOP, CORP, SameSite Cookies), Challenge

Paper: https://xsinator.com/paper.pdf

Lukas ist Wis­sen­schaft­li­cher Mit­ar­bei­ter am Lehr­stuhl Netz- und Da­ten­si­cher­heit der RUB.

Wie komm ich da rein?

Subscriber vom OWASP-Hamburg-Meetup, die das RSVP ausgefüllt haben, werden die Video-Konferenz-URL 1-2 Tage spätestens vorher sehen, wenn ich sie upgedatet habe --> siehe rechte Seite. Macht es uns einfach und schaltet Bild und Ton spätestens dann aus, wenn Lukas spricht. Schaltet beides später gerne wieder an, wenn wir beim gemütlichen Teil sind.
Den Passcode werdet ihr hier finden: 549867

Wir sind datenschutzfreundlich bei Cyber4edu wieder zu Gast (vielen Dank).

Generelles zum OWASP-Stammtisch

Bei unseren offenen Treffen geht es um Webanwendungen und deren Sicherheit und/oder IT-Security allgemein. Es treffen sich Leute, die sich beruflich oder privat damit auseinandersetzen: Entwickler, Manager, "Pentester" und alle an (Web)sicherheit interessierte. Die Atmosphäre ist offen und locker. Uns geht's um den Erfahrungsaustausch. Wer Produkte oder Dienstleistungen verkaufen will, ist hier falsch.
Leitet gerne Kollegen oder Bekannte den Hinweis auf unser Treffen weiter. Alle Treffen sind frei, für jeden offen und kostenlos.

Bis dann!

Dirk