## To Discuss: - bei Uneinigkeit die Aussagen hierher verschieben ### Web [Discuss] - Verifikation der Referrer HTTP-Header schützt nicht gegen Cross-Site-Request-Forgery (CSRF). ✅ - Verifikation der Referrer HTTP-Header schützt effektiv gegen Cross-Site-Request-Forgery (CSRF)❌ - das ist Teil der letzten Übung. CSRF kann auch von der eigentlichen Website selbst erfolgen (siehe Übung 6) - Prepared Statements können nicht alle SQL Injections verhindern. - ja, man kann Prepared Statements falsch implementieren (bzw nutzen) - Prepared Statements verhindern SQL-Injections. ❌ - Erschweren aber nicht zwingend verhindern? - Blacklisting bestimmter Zeichen schützt nicht gegen Cross-Site-Scripting (XSS).✅ - würde sagen Aussage ist wahr, da Blacklisting bestimmter Zeichen immer wieder umgangen wird, dazu gabe es auch eine Übung in der \<script geblacklisted war, aber man es umgehen konnte/sollte ### Netzwerk [Discuss] - Im Internet benutzen Router eines Autonomous System (AS) ausschließlich das Border Gateway Protocol (BGP) für den Austausch von Routinginformationen mit anderen ASen. - für Routinginformationen? keine Ahnung... zählt BGPsec hier rein? muss man dann in der Klausur fragen - Im Internet benutzen alle Router eines Autonomous System (AS) nur das Border Gateway Protocol für externe Verbinungen zu Routern von anderen ASn. - es gibt z.B. so ein anderes Protokoll das bei BGPsec verwendet wird - verwenden außerdem noch IP um traffic an andere Router zu forwarden - Im Internet benutzen alle Router eines Autonomous System (AS) nur das Border Gateway Protocol für externe Verbinungen zu anderen - fast gleich wie das darüber, wo liegt der Unterschied? - Bei IPv6 bekommt jeder Client vom Router eine IPv6 Adresse zugewiesen. ❌ - habe ich im Moodle nachgefragt, wurde bestätigt dass das nicht zwingend so ist, also Falsch - Bei IPv6 bestimmt jeder Client selbst seine IPv6 Adresse ❌ - kann man hier sagen ja? weil in den folien wird ja schon gesagt, die wählen ihre Adressen selber - habe ich im Moodle nachgefragt, wurde bestätigt dass das nicht zwingend so ist, also Falsch - im Grunde gleiche Aussage wie hier drüber, auch kein Unterschied? - (kann, aber muss nicht so sein...) ## Web Sicherheit - Deserialisierung von unsicheren Datenformaten kann Angreifern ermöglichen Code auf dem Opfersystem auszuführen.✅ - Deserialisierung von unsicheren Datenformaten ermöglicht dem Angreifer lediglich das Auslesen und Laden von externen Dokumenten. ❌ - Der Angreifer kann via Cross-Site-Scripting (XSS) nur dann vertrauliche Daten von einem Opfer auslesen, wenn er Kontakt zum Opfer aufgenommen hat.❌ - Der Angreifer kann via Cross Site Scripting (XSS) vertrauliche Daten von einem Opfer auslesen, ohne dass er Kontakt zum Opfer aufgenommen hat.✅ - Prepared Statements verhindern Cross-Site-Scripting (XSS). ❌ - SQL-Injections sind nur bei Webseiten möglich.❌ - Code Injection funktioniert nur, wenn SQL-Datenbanken genutzt werden.❌ - Cross-Site-Scripting (XSS) funktioniert nur wenn der Server Nutzereingaben speichert.❌ - Cookies können nicht für SQL-Injections genutzt werden.❌ - Cookies können für SQL-Injections genutzt werden.✅ - Cookies mit HttpOnly Flag (HttpOnly: true) konnen via Javascript (alert(document.cookie);) ausgegeben werden.❌ - Die Same-Origin-Policy wird vom Browser umgesetzt.✅ - Die Same-Origin-Policy wird nicht vom Browser umgesetzt.❌ - Die Same-Origin-Policy wird vom Server umgesetzt.❌ - Private Browsing schützt nicht gegen Tracking im Internet.✅ - Unsicher, schützt zwar irgendwie aber nicht super gut, da ja die Website immer noch Tracken kann - aus der Folien, es wird nur Browser History + session+ cookie nicht aufgezeichnet, aber Tracking bleibt möglich - Private Browsing schützt effektiv gegen Tracking im Internet.❌ - Um mit einer SQL-Injection Daten auszulesen, müssen die Resultate der SQL-Query irgendwo auf der Webseite angezeigt werden. ❌ - Wenn eine Seite ein gültiges Zertifikat hat (”grünes Schlossïm Browser), kann man der Webseite immer vertrauen ❌ ## Blockchain - Eine Blockchain benötigt digitale Signaturen. ✅ - Eine Blockchain benötigt keine digitale Signaturen. ❌ - Eine Blockchain eignet sich nicht, wenn Rückerstattungen durchführbar sein sollen. ✅ - Eine Blockchain eignet sich, wenn Rückerstattungen durchführbar sein sollen. ❌ - Man kann ja immer noch den gleichen Betrag einfach zurücksenden...? - Eine Blockchain eignet sich besonders gut, wenn Rückerstattungen durchführbar sein sollen. ❌ - Bei der Bitcoin-Blockchain wird etwa alle 15 Minuten ein neuer Block gefunden. ❌ - Bei der Bitcoin-Blockchain wird etwa alle 10 Minuten ein neuer Block gefunden. ✅ - Bei der Bitcoin-Blockchain wird etwa alle 2 Minuten ein neuer Block gefunden. ❌ - Eine Blockchain lässt sich nicht nur mit Proof-of-Work realisieren. ✅ - Eine Blockchain lässt sich nur mit Proof-of-Work realisieren. ❌ - Eine Blockchain lässt sich auch nur mit digitale Signaturen (ohne Proof-of-Work) realisieren. ✅ - Beim Proof of Work muss die Identität desjenigen, der die schwere Berechnung durchgeführt hat, bekannt sein. ❌ - Beim Proof of Work muss die Identität desjenigen, der die schwere Berechnung durchgeführt hat, nicht bekannt sein. ✅ - also seine Bitcoin Adresse muss bekannt sein, sonst aber nichts (eher pseudonym) - Blockchains lassen sich nicht nur als Hash-Bäume (Merkle trees) implementieren. ✅ - Blockchains lassen sich nur als Hash-Bäume (Merkle trees) implementieren. ❌ - Eine Blockchain kann nicht gleichzeitig richtlinienlos (permissionless) und privat sein. ✅ - Eine Blockchain kann gleichzeitig richtlinienlos (permissionless) und privat sein. ❌ - Ein Proof of Work muss einfach zu berechnen und schwer zu verifizieren sein. ❌ - Der einzige Anwendungszweck einer Blockchain ist eine Kryptowährungen. ❌ - Eine Blockchain hat auch andere Anwendungszwecke außer Kryptowäährungen ✅ - Eine Blockchain kann man nur für Kryptowährungen verwenden. ❌ - Es muss ein Anreiz für Miner geschaffen werden (bei der Bitcoin Blockchain ist es zum heutigen Zeitpunkt die Erzeugung von Guthaben). ✅ ## Netzwerksicherheit - Im Transport Modus ist der IP-Header, unabhängig ob Authentication Header (AH) oder Encapsulating Security Payload (ESP), unverschlüsselt.✅ - Wenn Pakete kleiner als die Maximum Transmission Unit (MTU) sind müssen sie fragmentiert werden um das Ziel zu erreichen.❌ - Wenn Pakete größer als die Maximum Transmission Unit (MTU) sind müssen sie fragmentiert werden um das Ziel zu erreichen.✅ - Wenn Pakete größer als die Maximum Transmission Unit (MTU) sind müssen sie fragmentiert werden.❌ - Können auch gedroppt werden - Der Internet Layer sorgt im Internet dafür, dass verlorene Pakete erneut gesendet werden.❌ - Der Application Layer sorgt dafür, dass verlorene Pakete erneut gesendet werden.❌ - IP-Pakete im Internet werden anhand des längsten übereinstimmensten Prefixes geroutet.✅ - ESP sorgt dafür, dass ein neuer IP-Header erstellt und der ursprüngliche IP Header im IP-Paket eingebettet wird.❌ - Ein Internet Router muss nicht nur den Link Layer unterstützen.✅ - Ein Internet Router muss alle Layer des Internet Protocol Stack unterstützen um Pakete forwarden zu können.❌ - Ein Internet Router muss alle Layer des Internet Protocol Stacks unterstützen, um Pakete weiterleiten zu können.❌ - Beim BGP Time to Live (TTL) Hack wird die TTL auf 255 gesetzt, so dass ein BGP Speaker an der TTL sehen kann, ob das Paket von einem direkten Nachbarn stammt.✅ - Beim BGP TTL Hack wird die TTL auf 1 gesetzt, so dass ein BGP Speaker an der TTL sehen kann, ob das Paket von einem direkten Nachbarn stammt.❌ - Nicht jedes IPv4-Gerät unterstützt automatisch IPv6.✅ - Bei Stateless Address Autoconfiguration (IPv6) bestimmen die Clients ihre IP-Adresse selbst.✅ - IPv6 lässt sich mit jedem IPv4 Gerät ohne weiteres benutzen.❌ - Beim AH wird neben der Authentifizierung auch verschlüsselt.❌ - Beim Finden von Routen im Internet wird nicht immer der kürzeste Pfad gewählt.✅ - Beim Finden von Routen im Internet wird immer der kürzeste Pfad gewählt.❌ - Beim Finden von Routen im Internet wird nicht immer der kürzeste Pfad gefunden.✅ - Beim Finden von Routen im Internet wird immer der kürzeste Pfad gefunden❌ - Man kann AH und ESP kombinieren.✅ - AH und ESP können nicht kombiniert werden.❌ - Beim AH wird neben der Authentifizierung auch verschlüsselt❌ - Im Transport Modus ist der IP-Header, unabhängig ob Authentication Header (AH) oder Encapsulating Security Payload (ESP), unverschlüsselt ✅ - DNS-Cache-Poisoning kann man nur als MitM-Angreifer durchführen. ❌ - Durch DNS Cache Poisoning sind Man-in-the-Middle Angriffe möglich. ✅ - Um eine Amplification Attack auszuführen reicht es aus die Paketgröße zu spoofen. ❌