lonewoolf: Das Auslesen der lokalen IP Adresse durch Javascript moeglich?

Hallo

[Frage]
Ist es moeglich, durch Javascript (entweder eingebettet im *.html Dokument od. als einzelnes *.js File) meine lokale IP Adresse auszulesen? In der Referenz fand ich kein solcher Befehl.

[Grund]
Mir fiel auf einer SecurityScan Website auf, dass dort nicht nur die vom ISP zugewiesene IP Adresse stand (korrekt), sondern auch die in meinem privaten Segment (LAN) durch meinen Router (NAT) verteilte IP Adresse (nicht gut find). Der dann gefundene Urheber war das eingeschaltete JAVA2-Plugin, welches benutzt wurde auf jener Website.

[Zusatzfragen]
Wieso ist dies moeglich mit JAVA, was steckt dahinter? Wenn die lokale IP Adresse somit ausgelesen werden kann durch ein JAVA Applet (bzw. durch den Browser), dann ist ja NAT unnuetz.. Und gibt es ueberhaupt weitere Technologien, mit denen das Auslesen der lokalen IP Adresse durch einen Browser (Firefox) moeglich ist? Btw, ich geh vom idealen Fall aus, das OS soll sich auf den neuesten (~bugfreien) Stand befinden.

Besten Dank,
lonewoolf

  1. hi,

    Ist es moeglich, durch Javascript [...] meine lokale IP Adresse auszulesen?

    Meines Wissens geht das nicht richtig. Hinweise dazu siehe http://de.selfhtml.org/javascript/objekte/location.htm#host

    Mir fiel auf einer SecurityScan Website auf, dass dort nicht nur die vom ISP zugewiesene IP Adresse stand (korrekt), sondern auch die in meinem privaten Segment (LAN) durch meinen Router (NAT) verteilte IP Adresse (nicht gut find). Der dann gefundene Urheber war das eingeschaltete JAVA2-Plugin

    Mit JAVA geht es allerdings, das ist korrekt.

    Wieso ist dies moeglich mit JAVA

    Weil JAVA weit mehr auf Systemebene tun kann als Javascript, auch dann, wenn du es als Applet erst herunterladen mußt.

    Wenn die lokale IP Adresse somit ausgelesen werden kann durch ein JAVA Applet (bzw. durch den Browser), dann ist ja NAT unnuetz.

    Wieso denn das? Du brauchst schließlich eine öffentliche (vom ISP zugewiesene) Adresse, damit dein Rechner überhaupt ins Internet gehen kann. Lies nochmal nach, was NAT ist.

    Und gibt es ueberhaupt weitere Technologien, mit denen das Auslesen der lokalen IP Adresse durch einen Browser (Firefox) moeglich ist?

    Nein, weil dein Browser (egal welcher) überhaupt nichts ausliest. Das können irgendwelche Anwendungen tun, auch z.B. ActiveX, und die schicken dann irgendwelches Zeugs an den Browser mit der Bitte, daß er dir das doch zeigen möge.

    ich geh vom idealen Fall aus, das OS soll sich auf den neuesten (~bugfreien) Stand befinden.

    Das darf es gerne sein, das ist aber wurscht.

    Grüße aus Berlin

    Christoph S.

    1. hallo

      Ist es moeglich, durch Javascript [...] meine lokale IP Adresse auszulesen?

      Meines Wissens geht das nicht richtig. Hinweise dazu siehe http://de.selfhtml.org/javascript/objekte/location.htm#host

      Danke, doch wie in der Referenz ersichtlich, speichert jener Befehl nur "den Namen des Server-Rechners innerhalb des aktuellen oder fensterspezifischen URI". Aber falls JavaScript doch kein solcher Befehl kennt (lok. IP auslesen), dann gut so.

      Wieso ist dies moeglich mit JAVA

      Weil JAVA weit mehr auf Systemebene tun kann als Javascript, auch dann, wenn du es als Applet erst herunterladen mußt.

      Gut, doch sollte das Applet nicht einfach so manch sensitive, lokale Daten auslesen, ohne Bestaetigung. Tja, die Loesung waere somit JAVA deaktivieren.

      Wenn die lokale IP Adresse somit ausgelesen werden kann durch ein JAVA Applet (bzw. durch den Browser), dann ist ja NAT unnuetz.

      Wieso denn das? Du brauchst schließlich eine öffentliche (vom ISP zugewiesene) Adresse, damit dein Rechner überhaupt ins Internet gehen kann. Lies nochmal nach, was NAT ist.

      Mmh, anders geschrieben: die Sicherheit, die NAT bietet, ist dahin, wenn durch ein JAVA Applet die lokale LAN-IP Adresse ausgelesen werden kann. So kann nun ein potentieller Angreifer auch die im _LAN_ vergebene IP Adresse erfahren (diesen Sicherheitsaspekt zu verharmlosen ist toericht).  Von der oeffentlichen IP Adresse spreche ich gar nicht, die wird natuerlich gebraucht als erste Anlaufstelle.

      Und gibt es ueberhaupt weitere Technologien, mit denen das Auslesen der lokalen IP Adresse durch einen Browser (Firefox) moeglich ist?

      Nein, weil dein Browser (egal welcher) überhaupt nichts ausliest. Das können irgendwelche Anwendungen tun, auch z.B. ActiveX, und die schicken dann irgendwelches Zeugs an den Browser mit der Bitte, daß er dir das doch zeigen möge.

      Wie ich schon schrieb, das ist mir klar, ein Browser alleine stellt im Allgemeinen nur dar, aber durch Zusatztechnologien bzw. kleinst Anwendungungen, wie zB. das von dir erwaehnte ActiveX moeglich. Ich dachte, es gaebe noch mehr Technologien als JAVA, ActiveX und diese *.xpi Extensions der Mozilla Suite (JavaScript entfaellt offensichtlich). Wie auch immer.

      ich geh vom idealen Fall aus, das OS soll sich auf den neuesten (~bugfreien) Stand befinden.

      Das darf es gerne sein, das ist aber wurscht.

      Wie meinen, wurde aber erwaehnt, um OS Predigten einzufrieren und die Vorraussetzung zu markieren.

      Besten Dank deiner Antworten,
      lonewoolf

      1. morgens,

        Lies nochmal nach, was NAT ist.
        Mmh, anders geschrieben: die Sicherheit, die NAT bietet, ist dahin

        NAT bietet keinerlei Sicherheit.

        wenn durch ein JAVA Applet die lokale LAN-IP Adresse ausgelesen werden kann. So kann nun ein potentieller Angreifer auch die im _LAN_ vergebene IP Adresse erfahren

        Kann er nicht, weil das Applet nur dir anzeigt, was es gerade gelesen hat. Und selbst wenn: na und? Du darfst gerne wissen, daß der Rechner, an dem ich grade schreibe, die lokale IP 192.168.0.1 hat. Anfangen kannst du damit nix, und auch kein "Angreifer" kann damit was anfangen.

        diesen Sicherheitsaspekt zu verharmlosen ist toericht

        Nein. _Hier_ einen Sicherheitsaspekt zu sehen, ist töricht.

        Grüße aus Berlin

        Christoph S.

        1. Moin!

          Lies nochmal nach, was NAT ist.
          Mmh, anders geschrieben: die Sicherheit, die NAT bietet, ist dahin
          NAT bietet keinerlei Sicherheit.

          Hm? Doch. Die Rechner sind zunächst mal von aussen nicht ohne weiteres zu erreichen und können also keine Serverdienste anbieten. Das kann natürlich nur ein Teil eines Konzeptes sein. Aber als Teil eines solchen Konzeptes halte ich NAT für ein sehr wirksames Stück Sicherheit. Und das ist es auch.

          MFFG (Mit freundlich- friedfertigem Grinsen)

          fastix®

          --
          Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Development. Auch  für seriöse Agenturen.
          1. Moin,

            NAT bietet keinerlei Sicherheit.
            Hm? Doch. Die Rechner sind zunächst mal von aussen nicht ohne weiteres zu erreichen und können also keine Serverdienste anbieten. Das kann natürlich nur ein Teil eines Konzeptes sein. Aber als Teil eines solchen Konzeptes halte ich NAT für ein sehr wirksames Stück Sicherheit. Und das ist es auch.

            Nein, NAT ist kein Sicherheitsfeature. Repeat: NAT ist kein Sicherheitsfeature. Die gängigen Implementierungen sind in der Regel nur darauf ausgelegt zu funktionieren, und das unter allen möglichen und unmöglichen Bedingungen und lassen daher häufig auch Pakete durch die eigentlich nicht durchgelassen hätten werden dürfen.

            http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#NAT
            oder in Fefes unvergleichbaren, eigenen Art: http://groups.google.com/groups?selm=3aa9b3c2%40fefe.de

            --
            Henryk Plötz
            Grüße aus Berlin
            ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
            ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
            1. Moin!

              Moin,

              NAT bietet keinerlei Sicherheit.
              Hm? Doch. Die Rechner sind zunächst mal von aussen nicht ohne weiteres zu erreichen und können also keine Serverdienste anbieten. Das kann natürlich nur ein Teil eines Konzeptes sein. Aber als Teil eines solchen Konzeptes halte ich NAT für ein sehr wirksames Stück Sicherheit. Und das ist es auch.

              Nein, NAT ist kein Sicherheitsfeature. Repeat: NAT ist kein Sicherheitsfeature. Die gängigen Implementierungen sind in der Regel nur darauf ausgelegt zu funktionieren, und das unter allen möglichen und unmöglichen Bedingungen und lassen daher häufig auch Pakete durch die eigentlich nicht durchgelassen hätten werden dürfen.

              http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#NAT
              oder in Fefes unvergleichbaren, eigenen Art: http://groups.google.com/groups?selm=3aa9b3c2%40fefe.de

              Netter theorethischer Disput. Das mag auch alles sein. Aber zumindest Fefes widerspricht mir gar nicht und ich schrieb von einem "Stück Sicherheit".

              Da keine Sicherheitsmaßnahme (außer Abschalten oder Trennung vom Netz) die Wahrscheinlichkeit eines erfolgreichen Angriffs via Netzwerk auf absolut 0 (NULL) drückt ist es so, dass sich die Gesamtwahrscheinlichkeit im Idealfall wie folgt ergibt:

              Angriff auf Maßnahme 1: Annahme: 0,1 Angriffe erfolgreich. Von diesen:
              Angriff auf Maßnahme 2: Annahme: 0,2 Angriffe erfolgreich.

              Macht: 0,1 * 0,2 = 0,02.
              Die realen Zahlen sind bittschön kleiner.

              Somit ist mittels einfachster statistischer Berechnung belegt, dass jedes weitere Stückchen Sicherheit dieselbe verbessert. Hatte ich nicht deutlich geschrieben "Aber als Teil eines solchen Konzeptes halte ich NAT für ein sehr wirksames Stück Sicherheit"? Wenn der DSL- Router (und um den geht es hier) mit Paketen regelrecht zugeschissen werden muss damit der mal ein Paket nach heuristischen Gesichtspunkte einem bestimmten Rechner zusortiert, dann ist das schon ganz ordentlich, das will, gerade auch unter dem Aspekt der geringen Ressourcen einer DSL-Verbindung (womöglich mit "SlowPath") entgegen aller theoretischer Aspekte erst mal praktisch gelingen. Wie gesagt: ein Stück Sicherheit im Rahmen eines Konzeptes.

              MFFG (Mit freundlich- friedfertigem Grinsen)

              fastix®

              --
              Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Development. Auch  für seriöse Agenturen.