... newer stories
Mittwoch, 22. Juni 2005
Sicherheitslücke? Eher Nachlässigkeit
Webworking
Mi, 22 Jun 2005 17:24:40 +0200
Das IT-Unternehmen Secunia macht auf eine vermeintliche Sicherheitslücke aufmerksam, die alle Browser betreffen würde, die JavaScript ausführen können.
Auf der Seite Multiple Browsers Dialog Origin Vulnerability Test
wird ein Test dazu angeboten.
Und in der Tat, wenn man nachlässig ist, könnte man sich da reinlegen lassen, indem man auf einer "vertrauenswüdigen Site, die Passworteingaben über Javascript" macht kommt und diese Eingabe dann ausfüllt.
Abgesehen davon, daß es so eine Site garnicht geben kann (vertrauliche Logindaten im JavaScript zeugen eher von inkompetenz, aber bei weitem nicht von Vertrauenswürdigkeit), ist dieser Trick ein alter Hut.
Er wurde vor einigen Jahren zuerst von aggressiven Bannervermarktern und Pornosites genutzt.
Auf einer (unverfänglichen?) Site wird ein JavaScript geladen, welches nichts weiter macht als ein neues Browserfenster zu öffnen. Dieses ist dann meist 1x1 Pixel groß und/oder im Hintergrund positioniert.
Das Fenster zeigt auf eine URL, hinter der ein weiteres JavaScript wartet. Das zweite JavaScript tut nichts weiter als nach einer gewissen Zufallszeit ein neues Fenster -diesmal im Vordergrund- zu laden, welches dann ein Werbebanner enthält.
Diese nun gemeldete neue Sicherheitslücke ist dagegen nur ein billigere Variante. Anstelle ein neues Fenster zu öffnen - was dann gleich auf einem fremden Server wäre und worin kein JavaScript notwendig wäre, wird hier nur eine simple JavaScript-Funktion gestartet...
Lange Rede, kurzer Sinn: Diese Sicherheitsmeldung ist nur PR, wie man spätestens am unteren Teil der Seite sieht:
Auf der Seite Multiple Browsers Dialog Origin Vulnerability Test
wird ein Test dazu angeboten.
Und in der Tat, wenn man nachlässig ist, könnte man sich da reinlegen lassen, indem man auf einer "vertrauenswüdigen Site, die Passworteingaben über Javascript" macht kommt und diese Eingabe dann ausfüllt.
Abgesehen davon, daß es so eine Site garnicht geben kann (vertrauliche Logindaten im JavaScript zeugen eher von inkompetenz, aber bei weitem nicht von Vertrauenswürdigkeit), ist dieser Trick ein alter Hut.
Er wurde vor einigen Jahren zuerst von aggressiven Bannervermarktern und Pornosites genutzt.
Auf einer (unverfänglichen?) Site wird ein JavaScript geladen, welches nichts weiter macht als ein neues Browserfenster zu öffnen. Dieses ist dann meist 1x1 Pixel groß und/oder im Hintergrund positioniert.
Das Fenster zeigt auf eine URL, hinter der ein weiteres JavaScript wartet. Das zweite JavaScript tut nichts weiter als nach einer gewissen Zufallszeit ein neues Fenster -diesmal im Vordergrund- zu laden, welches dann ein Werbebanner enthält.
Diese nun gemeldete neue Sicherheitslücke ist dagegen nur ein billigere Variante. Anstelle ein neues Fenster zu öffnen - was dann gleich auf einem fremden Server wäre und worin kein JavaScript notwendig wäre, wird hier nur eine simple JavaScript-Funktion gestartet...
Lange Rede, kurzer Sinn: Diese Sicherheitsmeldung ist nur PR, wie man spätestens am unteren Teil der Seite sieht:
Secunia offers a free weekly newsletter, which covers the latest threats from vulnerabilities.
To sign-up for the Secunia Weekly Summary, please enter your email address in the field below and submit the form:
... link
... older stories
