Javascript-Bug in Mozilla/Netscape

Die aktuelle PC-Welt berichtet von einem Bug in Mozilla/Netscape6/7, durch den für Webmaster angezeigt werden kann, zu welcher anderen Webseite der Besucher einer Site wechselt.Die PC-Welt empfiehlt aufgrund dieser schweren Sicherheitslücke Javascript in diesen Browsern zu deaktivieren.Wer hat genauere Informationen zu diesem Fehler. ? Ist er in der Mozilla-Version 1.2 Beta schon bereinigt oder gibt es einen Patch ?

franzkat

 

Jo kenn ich und poste ich auch desöfteren, heute auch schon mal, aber woanders....

 

Wer sich gut über die Sicherheitslücken beider Browser(IE u. mozillabasiert) informieren möchte, der sollte sich mal die Seite des skandinavischen Sicherheitsexperten Thor Larholm anschauen.

http://www.pivx.com/larholm/unpatched/

Hier kann man auch gut übeprüfen, inwiefern man mit seinen eigenen Sicherheitseinstellungen betroffen ist .Was die Parität anbetrifft : Larholm listet für die aktuellste Version des IE6 SP1 20(in Worten:zwanzig) gefährliche Sicherheitslücken auf.Nicht schlecht, oder ? Da hat man doch als Hacker eine gewisse Auswahl, wenns mal nicht gleich klappt ;-)

franzkat

 

Und dieselben User kümmern sich auch nicht um die wesentlich kritischeren Lücken ihres IE. <B>KOMISCH</B> nur, dass um die wesentlich weniger Wirbel in den Foren gemacht wird.

 

Du mußt ja immer berücksichtigten, dass die meisten User solche Überlegungen nicht anstellen können, da sie nicht wissen, dass es eine differenzierte Cookie-Verwaltung gibt und was man unter einem Referrer-Mechanismus versteht.D.h., wenn viel Unkenntnis und falsche Konfigurationen zusammenkommen, ist ja durchaus denkbar, dass eine Möglichkeit des Mißbrauchs besteht.

franzkat

 

Das schwerwiegend bezog ich auch eher auf Anwender wie mich, die sich nicht durch jede Horrormeldung gleich ins Bockshorn jagen lassen.
Darüber hinaus:
Was ist so schlimm daran, wenn eine Seite erfährt, welche Seite ich als nächste ansteuere? Ich bin für diese Seite eine IP. Seriöse Seiten erzeugen keine Fenster via onUnLoad, mit denen sie mich ausspionieren könnten, weil ich ein Cookie zugelassen habe. Bei unseriösen Seiten lasse ich eh keine Cookies zu. Rückschlüsse auf meine Person sind daher für den Seitenbetreiber unmöglich, es sei denn er könnte dem Staatsanwalt glaubhaft machen, dass ich irgendwas illegales gemacht habe und nun mein Provider meine Identität klären müsste. Etwas an den Haaren herbeigezogen und sehr konstruiert, oder?

 

critical\' eingestuft.Um so wichtiger ist es, hier Aufkärung zu leisten.

franzkat

 

1. Der Bug ist nicht schwerwiegend.
Es wird mal wieder maßlos übertrieben. Wenn man in den erweiterten Browsereinstellungen unter Scripts & Plugins das Öffnen nicht angeforderter Fenster verbietet oder durch Eintrag folgender Zeile in der Datei prefs.js (im Mozilla-Profilordner) das Senden des Referers völlig verbietet, ist die Sache erledigt. JavaScript muss deswegen nicht deaktiviert werden

<B>user_pref("network.http.sendRefererHeader", 0);</B>

http://bugzilla.mozilla.org/show_bug.cgi?id=145579
Status: VERIFIED
Resolution: FIXED