HTTP Referer Header: Wie Browser private URLs kompromittieren

von Fabian Gonzalez

Durch den HTTP Referer Header teilen heutige Browser dem Server die Adresse (URL) der Ursprungsressource mit, von der aus die aktuelle aufgerufen wurde. Der Header wurde definiert, um serverseitig festzustellen, woher ein Benutzer auf eine Ressource zugreift. Er wird häufig in den Log-Dateien des Servers abgespeichert und kann so beliebig ausgewertet und verarbeitet werden, was zu diversen Sicherheitsproblemen führen kann. Der Autor beschreibt die Problematik und nennt Gegenmassnahmen. [mehr]

HTTP Referer Header: How web browsers compromise private URLs

by Fabian Gonzalez

The HTTP Referer header was defined to determine the origin of a user’s request on the server side. As such, today’s web browsers use this header to communicate the last visited resource when requesting a new one. Since it is often written to a server’s access log, the header may be evaluated or used for other purposes. This may result in security issues. The author describes the problem and provides simple solutions. The article is available in German. [mehr]

Breaking the gateways – abusing dual-homed SCADA/ICS systems

von Jan Alsenz

Gateway-Systeme mit Verbindungen zu verschiedenen Netzwerksegmenten sind typisch für SCADA/ICS Netzwerke, wie sie in Fabriken oder der Energie- / Wasserversorgung anzutreffen sind. [mehr]

Breaking the gateways – abusing dual-homed SCADA/ICS systems

by Jan Alsenz

Gateway systems with connections to different network segments are common in SCADA/ICS networks, as found in manufacturing plants or power / water management. [mehr]

What3(Pass)Words – create passwords from places

by Jan Alsenz

Despite many known weaknesses and problems, passwords are ubiquitous. A new service, normally intended for geo-addressing, can be used to generate (reasonable) secure, easy to remember passwords. This article covers the mathematical basics as well as the pros and cons of this approach. [mehr]

What3(Pass)Words – create passwords from places

von Jan Alsenz

Trotz vieler bekannter Schwächen und Probleme sind Passwörter allgegenwärtig. Ein neuer, normalerweise für Geo-Addressing gedachter Dienst kann auch verwendet werden, um (einigermassen) sichere und einfach zu merkende Passwörter zu generieren. [mehr]