Sicherheit

16.05.2008 10:07

Safari wegen fehlender Download-Abfrage unsicher?

Wer den Apple-Browser Safari einsetzt, holt sich möglicherweise unbeabsichtigt Schadsoftware auf den Rechner, weil beim Starten eines Downloads keine Nachfrage erfolgt. Vor diesem Szenario warnt derzeit der Sicherheitsexperte Nitesh Dhanjani.

Seiner Meinung nach stellt das Fehlen einer Download-Bestätigung ein Sicherheitsrisiko dar. Während Firefox und der Internet Explorer stets eine Bestätigung des Nutzers verlangen, bevor sie Dateien auf dem PC speichern, lädt Safari die Dateien einfach auf den als Standard-Speicherort festgelegten Desktop oder den Download-Ordner des Mac.

In seinem Weblog beschreibt Dhanjani im Eintrag Safari Streubombe, wie eine speziell präparierte Website problemlos Downloads auslösen kann, die auf dem Desktop von Windows landen. Bei Apple will man an diesem Verhalten zunächst nichts ändern. Es handelt sich nach Einschätzung des Unternehmens nicht um ein Sicherheitsrisiko.

Stattdessen habe man den Safari-Entwicklern den Verbesserungsvorschlag unterbreitet, eine Abfrage vor Downloads einzubauen, hieß es. Nach Angaben von Dhanjani geht vor allem deshalb eine Gefahr davon aus, weil Safari den Anwender auch nicht warnt, wenn eine lokale Quelle versucht Client-seitiges Scripting auszulösen.

Apple will seinen Angaben zufolge nun über eine Art "sicheren Modus" für lokal gespeicherte HTML-Dateien nachdenken. Obiger Screenshot zeigt die Auswirkungen des Problems anhand eines Testbeispiels.

Roland Quandt

Weitere Nachrichten zum Thema

Nachricht versenden
Kommentieren
Hinweis einsenden

Diese Nachricht empfehlen:

[o1] am

(-1)

ja gut auch wenn ich safari mag, die funktion muss nachgebessert werden es kann wirklich eng ausgehen und dann hat mans, gut bei mac ist es vllt. nicht so schlimm, da es nicht so viele schadsoftwares gibt usw. aber bei windows muss man ja nicht noch ne zusätzliche lücke haben außer microsoft xDDDD

[re:1] am

(-1)

@urbanskater: Eben, und deswegen sollte man nur MS Software unter Windows benutzen, denn jeder andere Browser (Programm) stellt eine zusätzliche Bedrohung dar.....was ne Logik^^

Bearbeitet am 16.05.08 um 11:24 Uhr.

[re:2] am

@ species: du sagst es, man sollte nur windowssoftware verwenden den der ie 7 und ie 8 führen wenigsten den schadcode gleich aus und legen in nicht am desktop ab :)

[re:3] am

@OSlin: Exakt, so ist es unter Vista. Stichwort: Geschützter Modus. IE ist definitiv sichere als alternativ Browser unter Vista. Danke Geschützter Modus, dass es dich gibt.