Hallo!
Ich hab einige Fragen zu Frage 15 b) und c) und Frage 17 in der 2. Altklausur 2023/24 Aufgabe 7.
Bei b) wäre meine Lösung, dass der Angriff funktioniert, sofern von bank.com keine CSRF Tokens verwendet werden. Wenn bank.com CSRF Tokens verwendet, kann der Angreifer keinen benutzerdefinierten Header erzeugen, der vom Server mit dem gesetzten Token im Cookie abgeglichen wird. Das heißt, dass der Angriff in dem Fall nicht mehr funktioniert.
In c) ist meine Lösng, dass es keinen Unterschied macht, ob die kontrollierte Seite eine Subdomain ist, weil der Angreifer evtl. nur den Cookie mitsenden könnte (wenn bspw. SameSite = lax oder None), aber wieder nicht den Header zum zugehörigen Token. => Es würde sich ja nur was ändern, wenn kein CSRF Token verwendet wird und SameSite = lax ist, weil der Angreifer jetzt den Cookie mitsenden kann, was von der third party domain (unsuspicious.io) nicht durchgeführt werden konnte.
Bei b) und c) war ich mir unsicher was gemeint ist und c) irgendiwe impliziert, dass sich da etwas verändert.
Zu Frage 17: Ich habe online irgendwie nichts gefunden zu SameSite URLs und bin mir da sehr unsicher worauf ich achten muss und wollte da fragen, wie ich da die SameSites identifizieren kann.
Ich bedanke mich schonmal Vielmals im Voraus!