service workers gefährlich oder nicht

  • Eben erst gelesen:
    https://www.wilderssecurity.com/threads/new-br…eb-page.413876/

    Zitat

    MarioNet can survive after users close the browser tab or move away from the website hosting the malicious code.
    This is possible because modern web browsers now support a new API called Service Workers.
    The attack routine consists of registering a service worker when the user lands on an attacker-controlled website and then abusing the Service Worker SyncManager interface to keep the service worker alive after the user navigates away.


    Welchen Einflussbereich haben SW überhaupt, sind die auf die Webseite beschränkt, das Zitat lässt mich was anderes denken. Oder der SW arbeitet weiter, auch wenn die Webseite geschlossen wurde!?

    https://developer.mozilla.org/de/docs/Web/AP…Service_Workers
    https://developer.mozilla.org/de/docs/Web/API/Service_Worker_API

    Ich möchte eigentlich vermeiden, dass wie im Thema erwähnt jetzt die Ängstlichen die service workers wie blöd deaktivieren und sich später wundern, warum manche Webseite nicht korrekt angezeigt wird oder korrekt arbeitet. Der Typ (Sampei), der da am meisten rumposaunt, nutzt eh noch Windows XP, von daher nicht zwingend relevant.

    #Link korrigiert

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

    Einmal editiert, zuletzt von .DeJaVu (4. März 2019 um 09:47)

  • So pauschal formuliert wie die Frage im Thementitel lässt sich die Frage nicht beantworten. Service Workers sind ein Webstandard und können wie viele Webstandards für gute wie für schlechte Dinge genutzt werden. Das wäre, als würde man fragen: Sind Bilder gefährlich? Denn Bilder deaktiviert man normalerweise auch nicht, obwohl manipulierte Bilder ein Klassiker unter den Sicherheitslücken sind.

    Service Workers können auch aktiv sein, wenn die Webseite in keinem Tab geöffnet sind, was für Push-Benachrichtigungen relevant ist. Das würde ja nichts bringen, wenn dafür die Webseite geöffnet sein müsste. Push-Benachrichtigungen sind aber nur eine Sache, wofür Service Workers benötigt werden. Service Workers bedienen aber noch weitere Anwendungsfälle. Eine Auswahl: <Link entfernt>

  • Also laufen die SW nur im Kontext der Webseite, von wo die installiert wurden?
    Cache und Push sind mir bekannt, aber Proxy bzw Redirect im Seitenkontext? Was ist mit Virtual Server?
    Kann ein SW auf andere Tabs/Webseiten einwirken? Cache from ZIP, bekomme ich da eine Aufforderung zum Speichern? Wird der Download-Dialog umgangen? Also gerade die Teile, die unter "beyond offline" aufgeführt sind.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Da es sich um einen Webstandard handelt, der durch eine Webseite implementiert wird, läuft der Service Worker natürlich nur im Kontext der entsprechenden Webseite, du hast als Webseitenbetreiber nur über deine eigene Webseite Kontrolle.

    Auf der Webseite <Link entfernt> steht zu jedem Anwendungsfall eine Erklärung, was das ist. Und oben findest du immer einen Link zu einer Demo-Anwendung.

    Unter about:debugging#workers findest du übrigens in deinem Firefox-Profil registrierte Service Workers.