Sicherheitsrisiko in fast allen Browsern

Dieses Thema im Forum "Browser" wurde erstellt von Ramses_der_2te, 3. Juli 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Ramses_der_2te

    Ramses_der_2te Kbyte

    Registriert seit:
    12. Juni 2004
    Beiträge:
    157
    Sicherheitsrisiko in fast allen Browsern

    Zu laxe Sicherheitsvorkehrungen in nahezu allen Browsern ermöglichen Manipulationen von angezeigten Fenstern. Selbst Seiten für Online-Banking lassen sich so manipulieren, dass die Anwender Passwörter, Kreditkartennummern oder PINs an fremde Server schicken.

    Eigentlich sollte der Browser sicherstellen, dass parallel angezeigte Web-Seiten sich nicht gegenseitig manipulieren können, wenn sie aus unterschiedlichen Domains stammen. So sollte eine Heise-Seite keine Inhalte einer Online-Banking-Seite verändern können, die in einem anderen Fenster angezeigt wird. Doch diese Cross-Domain-Sperre ist löchrig und lässt sich bei Seiten austricksen, die sich aus Frames zusammensetzen. Anders als zunächst angenommen ist davon nicht nur der Internet Explorer betroffen, sondern nahezu jeder Browser, der Frames unterstützt, unabhängig vom verwendeten Betriebssystem: vom Internet Explorer über Mozilla/Firefox bis hin zu Opera, Konqueror und Safari. Uns bekannte Ausnahmen sind lediglich Mozilla 1.7 und Firefox 0.9.

    Eine Demonstration auf dem Browsercheck erklärt die Problematik genauer und führt vor, dass sich sogar eine verschlüsselte Online-Banking-Seite manipulieren lässt. Der Anwender hat bei solchen Manipulationen kaum eine Chance, zu bemerken, dass er seine vertraulichen Daten nicht an den Server der Bank, sondern an einen beliebigen anderen Server schickt.

    Zum Schutz vor solchen Manipulationen sollten Anwender bei allen Seiten, die die Eingabe kritischer Daten erfordern, nur ein Browser-Fenster öffnen und dort die URL von Hand eingeben oder aus den eigenen Favoriten/Bookmarks auswählen.

    Quelle: http://www.heise.de


     
  2. kalweit

    kalweit Hüter der Glaskugel

    Registriert seit:
    18. April 2000
    Beiträge:
    31.468
    Kannste mal sehen, da hat man wohl gepennt. Genau die Lücke wurde im DOM bereits in den 4er Browsern auf breiter Front beseitig - dass das in reinem HTML wieder auftaucht ist schon interessant, zumal der Fakt selbst doch ziemlich simpel ist.

    Gruss, Matthias
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen