Hilfe
Neues Thema
Antworten
Hallo,
habe gestern im Videotext eine Warnung vor installierten Widgets gelesen. Diese kleinen Programme sollen den Zugriff von aussen auf den Pc ermöglichen, bzw es könnten über die Widgets Datten ausgelesen werden. Habe selbst ein Yahhoo-Weather-Widget installiert. Also ein Risiko ?
Weiss jemand darüber etwas und wenn,wie ist die mögliche Sicherheitslücke zu schließen?
sorry, soll natürlich daten heissen
Seite 1 von 1
Widgets Ein Sicherheitsrisiko ?
#1
pinball 
geschrieben 19. Januar 2008 - 12:12
Nach oben
#2
ph030
- Gruppe: aktive Mitglieder
- Beiträge: 5.132
- Beigetreten: 14. Juli 04
- Reputation: 36
- Geschlecht:unbekannt
geschrieben 19. Januar 2008 - 12:24
Annähernd alle Widgets nutzen JavaScript oder Flash, ergo kann das bei unvorsichtiger Programmierung oder Absicht ein sehr großes Risiko darstellen.
IMHO, braucht sowieso kein Mensch.
IMHO, braucht sowieso kein Mensch.
/fuck you - really, I mean it!
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
#3
Spiderman
geschrieben 19. Januar 2008 - 18:21
Ja,
Widgets oder Gadgets sind ein großes Sicherheitsrisiko.
Ich hatte immer schon ein unsicheres Gefühl, deshalb habe ich auch selbst Gadgets geschrieben.
Kürzlich durchgeführte Tests haben ergeben, selbst unter Vista sind die Gadgets nicht sicher.
Der IE kennt Sicherheitsstufen und Zonen, die Sidebar hat das nicht, und die Internet Einstellungen gelten nicht für die Sidebar.
Daraus folgt, auch bei hoher Sicherheitsstufe in den Internet Einstellungen, können Gadgets unbeschränkt ActiveX Objekte einsetzen.
Ein Gadget kann also z.B. Einträge in der Registrierung lesen, beschreiben, löschen, genauso wie der User mit dem Reg Editor.
Ein Gadget hat Zugriff auf das Internet, kann downloaden und Daten senden.
Ein Gadget hat Zugriff auf das Datei System, kann also Dateien öffnen, lesen, erstellen, löschen, mit den Rechten des Users.
Folglich sind Widgets/Gadgets wie eine Software Installation anzusehen, du vertaust dem Entwickler deine Systemsicherheit an.
Die Sidebar müsste eigentlich in einer Sandbox laufen, keine Ahnung warum MS die Leute so gefährdet.
PS: Das alles gilt für jedes Gadget, was ein Gadget tut, kann man nur durch Analyse des Codes tun, das Problem ist, und das hat auch MS nun erkannt, ein Gadget kann auch ein Wolf im Schafspelz sein.
Mal ein Beispiel, ein Gadget holt vom einem Server im Internet die WAN IP und zeigt diese an, der Besitzer des Webservers kann jederzeit statt der WAN IP einen Java Script Code senden, der dann ausgeführt wird.
Man sieht also, selbst der beste Sicherheits Test des Gadgets bringt hier etwas, der gefährlich Code kommt erst möglicher Weise nach Monaten, durch das Internet.
Gruß
Spiderman
Widgets oder Gadgets sind ein großes Sicherheitsrisiko.
Ich hatte immer schon ein unsicheres Gefühl, deshalb habe ich auch selbst Gadgets geschrieben.
Kürzlich durchgeführte Tests haben ergeben, selbst unter Vista sind die Gadgets nicht sicher.
Der IE kennt Sicherheitsstufen und Zonen, die Sidebar hat das nicht, und die Internet Einstellungen gelten nicht für die Sidebar.
Daraus folgt, auch bei hoher Sicherheitsstufe in den Internet Einstellungen, können Gadgets unbeschränkt ActiveX Objekte einsetzen.
Ein Gadget kann also z.B. Einträge in der Registrierung lesen, beschreiben, löschen, genauso wie der User mit dem Reg Editor.
Ein Gadget hat Zugriff auf das Internet, kann downloaden und Daten senden.
Ein Gadget hat Zugriff auf das Datei System, kann also Dateien öffnen, lesen, erstellen, löschen, mit den Rechten des Users.
Folglich sind Widgets/Gadgets wie eine Software Installation anzusehen, du vertaust dem Entwickler deine Systemsicherheit an.
Die Sidebar müsste eigentlich in einer Sandbox laufen, keine Ahnung warum MS die Leute so gefährdet.
PS: Das alles gilt für jedes Gadget, was ein Gadget tut, kann man nur durch Analyse des Codes tun, das Problem ist, und das hat auch MS nun erkannt, ein Gadget kann auch ein Wolf im Schafspelz sein.
Mal ein Beispiel, ein Gadget holt vom einem Server im Internet die WAN IP und zeigt diese an, der Besitzer des Webservers kann jederzeit statt der WAN IP einen Java Script Code senden, der dann ausgeführt wird.
Man sieht also, selbst der beste Sicherheits Test des Gadgets bringt hier etwas, der gefährlich Code kommt erst möglicher Weise nach Monaten, durch das Internet.
Gruß
Spiderman
Dieser Beitrag wurde von Spiderman bearbeitet: 19. Januar 2008 - 18:33
Thema verteilen:
Seite 1 von 1