Saturday, May 25, 2013

Verteilter Pastebin mit HTML5: DistPaste

von Jan-Ole Malchow (Freie Universität Berlin)

Saturday, 25.05.2013, London II, 10:00-10:45 Uhr

Moderne Browser implementieren bereits einen Großteil des HTML5-Standards und führen die nächste Generation von browserbasierten JavaScript-Anwendungen ein. Durch die nun verfügbaren APIs wie WebSockets oder Local Storage ergeben sich vielfältige Möglichkeiten. Die Software DistPaste demonstriert, wie sich ein Pastebin mit verteilter Datenhaltung auf Basis von HTML5 implementieren lässt.

Das Besondere an der verteilten Datenhaltung ist, dass die Daten nicht auf dem Server, sondern auf den Systemen aller Nutzer des Systems liegen. DistPaste verwendet also Ressourcen der Benutzer zum Betrieb der gesamten Anwendung. Da aktuelle Browser die Benutzer nur selten über aktive HTML5-APIs informiert, bemerken diese nur wenig von der Verwendung ihrer Ressourcen. Zusätzlich verwendet DistPaste eine Technik zum dynamischen Nachladen von JavaScript-Code und kann somit als erster Schritt hin zu einem JavaScript-Botnet betrachtet werden.

Aus der Möglichkeit der ungefragten Nutzung nennenswerter Ressourcen aller Besucher einer Webseite ergeben sich sowohl für den Betreiber einer Seite also auch alle Nutzer eine Reihe rechtlicher Fragen. Wir beschreiben diese bestehende Grauzone mit der Absicht sie ins Bewusstsein aller Beteiligten zu bringen. Eine Klärung des rechtlichen Rahmens scheint uns erstrebenswert.

Links:

• Audio (OGG)
• Audio (MP3)

• Audio (OGG)
• Audio (MP3)

Über den Autor Jan-Ole Malchow:

Jan-Ole Malchow blickt auf langjährige Erfahrung im Bereich Softwareentwicklung und Software-Audit in datenschutzkritischen Bereichen zurück. Ein wesentlicher Fokus lag bei dieser Arbeit auf webbasierten Anwendungen.
Er studierte an der Universität Hamburg (B.Sc. Informatik 2010) und der Freien Universität Berlin (M.Sc. Informatik 2012) jeweils mit einem Schwerpunkt auf Sicherheit in verteilten Systemen. Seit 2012 ist er wissenschaftlicher Mittarbeiter und Doktorand in der Arbeitsgruppe Sichere Identität an der Freien Universität Berlin. Sein Hauptinteresse liegt dort zurzeit auf angewandter Kryptographie. Er verliert dabei jedoch Themen rund um die Sicherheit von Webanwendungen nicht aus den Augen.