WinFuture-Forum.de: Spionagegefahr - Tabbed-browsing - WinFuture-Forum.de

Zum Inhalt wechseln

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
Seite 1 von 1

Spionagegefahr - Tabbed-browsing


#1 Mitglied ist offline   sadder 

  • Gruppe: aktive Mitglieder
  • Beiträge: 78
  • Beigetreten: 05. Oktober 04
  • Reputation: 0

  geschrieben 21. Oktober 2004 - 05:50

Zitat

Spionagegefahr durch Tabbed-Browsing

Die Sicherheitsfirma Secunia warnt in einem Advisory vor Gefahren, wenn Browser mehrere Seiten in einem Fenster darstellen, was oft als Tabbed-Browsing bezeichnet wird. Das Grundproblem dabei ist, dass auch verdeckte Seiten Skriptbefehle ausführen können, der Anwender jedoch denkt, er interagiere mit der im Vordergrund dargestellten Seite. So landen unter Umständen Eingaben mit Passwörtern oder anderen wichtigen Daten auf dem falschen Server.

Secunia demonstriert das Problem mit zwei Szenarien. In einem öffnet der Anwender eine Seite der Citibank in einem neuen Tab. Dann öffnet sich eine Dialogbox, die Informationen abfragt. Dieses Dialogfenster erscheint unter Umständen vor der Citibank-Seite, wird aber von der ursprünglichen Demo-Seite gesteuert. Diese erhält folglich auch alle Eingaben des Anwenders.

Bei der zweiten Demo setzt ein im Hintergrund regelmäßig ausgeführter JavaScript-Befehl den Fokus auf ein Eingabeformular der Demo-Seite. Wenn der Anwender eine neue Seite in einem neuen Tab öffnet und versucht, dort etwas einzugeben, landet es somit immer im Eingabeformular der versteckten, aber immer noch aktiven Demo-Seite.

Obwohl teilweise anders berichtet, ist es nicht unbedingt erforderlich, dass der Anwender wie bei den Secunia-Demos die auszuspionierende Seite von der bösen aus öffnet, indem er dort auf einen Link klickt. Voraussetzung ist lediglich, dass beide Seiten im selben Fenster als Tabs dargestellt werden.

Betroffen sind alle Browser, die Tabbed-Browsing unterstützen, also unter anderem Mozilla, Opera, Konqueror und Safari.

Microsofts Internet Explorer kennt keine Tabs, wer jedoch Erweiterungen wie Avant oder Maxthon (früher MyIE2) einsetzt, ist ebenfalls anfällig. Laut Secunia hat Opera versprochen, das Problem in Release 7.60 zu beseitigen. Das Abschalten von JavaScript macht diese Art von Missbrauch zwar unmöglich, bedeutet allerdings auch, dass viele Seiten nicht mehr funktionieren. Um diese unerwünschte Interaktionen zwischen Seiten auszuschließen, genügt es jedoch, Seiten, die die Eingabe von wichtigen Daten erfordern, immer in einem eigenen Fenster -- oder noch besser in einer frischen Browser-Instanz zu öffnen


quelle
0

Anzeige



#2 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 21. Oktober 2004 - 07:49

1. Aha... wir sollen nun also lieber den Titel des Alert- oder Prompt-Dialoges an den Window-Titel des jeweiligen Tabs binden. Und denn wäre da wohl kein Spoofing möglich? So, wie es ist, ist das ein gewolltes Verhalten.
2. Kann ich zwar nicht bestätigen (korrekterweise liegt der Focus immer nur auf dem aktiven Tab), aber user_pref("capability.policy.default.Elements.focus", "noAccess"); existiert und war bei mir schon lange gesetzt. :wink:
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#3 _Lieblingsgast_

  • Gruppe: Gäste

geschrieben 21. Oktober 2004 - 11:25

funktioniert! dank an rika!
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0