Sicherheitsrisiko in fast allen Browsern

Sicherheitsrisiko in fast allen Browsern

Zu laxe Sicherheitsvorkehrungen in nahezu allen Browsern ermöglichen Manipulationen von angezeigten Fenstern. Selbst Seiten für Online-Banking lassen sich so manipulieren, dass die Anwender Passwörter, Kreditkartennummern oder PINs an fremde Server schicken.

Eigentlich sollte der Browser sicherstellen, dass parallel angezeigte Web-Seiten sich nicht gegenseitig manipulieren können, wenn sie aus unterschiedlichen Domains stammen. So sollte eine Heise-Seite keine Inhalte einer Online-Banking-Seite verändern können, die in einem anderen Fenster angezeigt wird. Doch diese Cross-Domain-Sperre ist löchrig und lässt sich bei Seiten austricksen, die sich aus Frames zusammensetzen. Anders als zunächst angenommen ist davon nicht nur der Internet Explorer betroffen, sondern nahezu jeder Browser, der Frames unterstützt, unabhängig vom verwendeten Betriebssystem: vom Internet Explorer über Mozilla/Firefox bis hin zu Opera, Konqueror und Safari. Uns bekannte Ausnahmen sind lediglich Mozilla 1.7 und Firefox 0.9.

Eine Demonstration auf dem Browsercheck erklärt die Problematik genauer und führt vor, dass sich sogar eine verschlüsselte Online-Banking-Seite manipulieren lässt. Der Anwender hat bei solchen Manipulationen kaum eine Chance, zu bemerken, dass er seine vertraulichen Daten nicht an den Server der Bank, sondern an einen beliebigen anderen Server schickt.

Zum Schutz vor solchen Manipulationen sollten Anwender bei allen Seiten, die die Eingabe kritischer Daten erfordern, nur ein Browser-Fenster öffnen und dort die URL von Hand eingeben oder aus den eigenen Favoriten/Bookmarks auswählen.

Quelle: http://www.heise.de

 

Kannste mal sehen, da hat man wohl gepennt. Genau die Lücke wurde im DOM bereits in den 4er Browsern auf breiter Front beseitig - dass das in reinem HTML wieder auftaucht ist schon interessant, zumal der Fakt selbst doch ziemlich simpel ist.

Gruss, Matthias