Der Text wurde auch auf der Website des PHP Magazins veröffentlicht.
Leider wurden beim Überarbeiten des Texts im Verlag ein paar Fehler
eingebaut. Da ich den Text vor dem Druck nicht mehr gesehen habe, sind sie
mir erst jetzt aufgefallen. Und ja, ich gebe es zu: Ich habe meinen
Artikel im Belegexemplar nicht wirklich gelesen, sondern nur
überflogen. Wozu sollte ich ihn auch aufmerksam lesen, ich weiß
ja, was drin steht. Habe ich zumindest gedacht, was in diesem Einzelfall
ein Irrtum war.
Das PHP Magazin enthält immer genug interessante Artikel, deren Inhalt
ich noch nicht kenne. Die lese ich dann natürlich aufmerksam.
Die Redaktion ist informiert und arbeitet an einer Lösung des
Problems.
Besonders gravierend sind zwei Fehler.
Der erste Fehler befindet sich im Abschnitt "Lokaler Speicher, globales Problem". Dort steht jetzt (im Web im Teil 3 unten)
"... Vergleichbar mit dem Local Storage ist der Session Storage, in dem die Speicherung aber auf die Session-Dauer beschränkt ist.
Daher gilt das im Folgenden über den Local Storage Gesagte auch immer für den Session Storage, außer eine Session läuft und darin sind Daten gespeichert, während die Daten im Local Storage solange erhalten bleiben, bis sie gezielt gelöscht werden. Für einen Angreifer ..."
Mein Originaltext an der Stelle:
"Mit dem Local Storage vergleichbar ist der Session Storage, in dem die Speicherung aber auf die Session-Dauer beschränkt ist. Daher gilt das im Folgenden über den Local Storage Gesagte auch immer für den Session Storage. Mit der Einschränkung, dass eine Session läuft und darin Daten gespeichert sind, während die Daten im Local Storage solange erhalten bleiben, bis sie gezielt gelöscht werden.
Für einen Angreifer ..."
Bei der Beschreibung des Likejackings steht (im Web in Teil 7 unten)
"Facebooks „Like“-Button und alle anderen Schaltflächen etc., die auf einer Webseite eingebunden werden, um Aktionen im Kontext eines anderen Dienstes auszulösen, haben für Angreifer einen großen Vorteil: Sofern sie nur auf einen Klick warten müssen und daraufhin sofort eine Aktion im Namen eines bei ihrem eigenen Dienst angemeldeten Benutzers auslösen können, können diese nicht vor Clickjacking geschützt werden.
Sofern die Seite, die die Angreifer einbettet, nicht selbst gegen Clickjacking geschützt ist, sind die Anbieter ein leichtes Opfer eines solchen Angriffs [11]. ..."
Da sollte eigentlich folgendes stehen:
"Facebooks "Like"-Button und allen anderen Schaltflächen etc., die auf einer Webseite eingebunden werden, um Aktionen im Kontext eines anderen Dienstes auszulösen, haben für Angreifer einen großen Vorteil: Sofern sie nur auf einen Klick warten und daraufhin sofort eine Aktion im Namen eines bei ihrem eigenen Dienst angemeldeten Benutzers auslösen, können sie nicht vor Clickjacking geschützt werden. Sofern die Seite, die sie einbettet, nicht selbst gegen Clickjacking geschützt ist, sind sie ein leichtes Opfer eines solchen Angriffs [11].
..."
Das "sie" bezieht sich jeweils auf die Like- und ähnliche Buttons, die sich ja konzeptbedingt nicht selbst vor Clickjacking schützen können.
Meinen eigenen Kürzungen des Texts ist folgende Ergänzung zum
Opfer gefallen, die ich hier gerne nachreichen möchte:
"Ein Angreifer, der so einen Button im Rahmen seines
Clickjacking-Angriffs in eine eigene Seite einbindet, wird
selbstverständlich keine solche Maßnahme ergreifen."
Paul Stones Tool dient natürlich nicht nur zur Demonstration des dritten Angriffs, sondern aller von ihm vorgestellten Angriffe. Da ist eine in der Vorlage einzeln stehende Zeile in die Beschreibung des dritten Angriffs, "HTML-Quelltexte kopieren", gerutscht (im Web steht das in Teil 8).
Ansonsten wurden noch einzelne Wörter ausgetauscht, die den Text m.E. etwas unklarer machen, aber nicht zu sachlichen Fehlern führen.
Sourcecode gibt es auch zu dieser Folge nicht.