Sicherheitslücken durch Tabbed-Browsing

Software Die Sicherheitsfirma Secunia demonstriert auf ihrer Internetsetseite, wie das Tabbed-Browsing (mehrere Internetseiten in einem Programmfenster darstellen) zur Spionage des Anwenders ausgenutzt werden kann. Betroffen sind alle Browser, die dieses ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Jap, besser als wenn man lesen muss "IE Fehler schon 2 Monate bekannt.." denke ich gibts nächste oder diese Woche ein kleines update dafür :)
 
hammer hart :) habe es mit firefox getestet jetzt heist es nichst mehr tabbedbrowsing. (vorerst)
 
Schade, Tabbed Browsing ist einfach total übersichtlich, mit ein Grund warum ich so gerne den Avant Browser benutze. Wird da auch noch was für programmiert das sowas nicht passiert ?
 
naja... wer ist denn so blöd und gibt kontodaten oder ähnliches in ein javascript fenster....
und die 2. demo funzt bei mir (firefox 1.0rc1ß) nicht....
 
Hmm ich frage mich aber wer so bl*d ist von einer unbekannten seite aus über einen link seine bankseite zu öffnen?
ich gebe die adresse direkt ein, oder öffne sie über die favoriten, und dann hab ich auch immer nur die bankseite auf, erledige meine überweisungen, etc. und schließe die seite dann wieder....
 
ein großer hut dummheit gehört natürlich dazu :)
 
Die beiden "Sicherheitslücken" sind - mit Verlaub - einfach nur lächerlich. Wer selbst den beiden o.a. Links folgt, wird merken, dass im ersten Fall eine stinknormale Java-Script - Eingabeaufforderung erscheint, die nun wirklich derart augenfällig ist, dass bei einem die Alarmglocken klingeln sollten, vor allem wenn man das von seiner eigenen Bank-Seite nicht gewohnt ist, im zweiten Fall wegen des Focus-Entzugs keine sinnvolle Eingabe auf der Citybank-Seite mehr möglich ist: insbesondere Dropdown-Listen werden sofort wieder geschlossen und die Auswahl kann deswegen nicht abgefangen werden, und bei einfachen Edits sollte man nach spätestens 3 Zeichen gemerkt haben, dass etwas nicht stimmt, weil die eingegebenen Zeichen dort nicht erscheinen.
 
@chaoscom: wenn ich das professionell machen würde, dann würde ich ein popup fenster nehmen und keinen billigen java script dialog, aber in dem fall würden auch wieder nicht tabbed browser betroffen sein. das ist eine "sicherheitslücke" die keine richtige anwendung finden wird, weil sie ungeignet ist um damit leute zu verarschen. wer gibt schon seine pin nummer in nen java script dialog ein..wer bitte? :) ich stimm dir voll zu chaoscom
 
@chaoscom: ich stimme dir zu, der erste test ist witzlos wegen der scriptaufforderung und bei dem 2ten test verschwinden die zeichen bei der eingabe in der citybank...das ist wieder typisch secunia, die gemeldeten sicherheitsbugs von dort funktionierten zum grossteil garnicht....!!
 
der zweite test funktioniert bei mir irgendwie nicht, die keystrokes werden nicht abgefangen
 
@DOCa Cola: hehe, aso, ich lese gerade weiter unten das das in meiner firefox build schon längst gefixt ist, auch gut :)
 
Schaut euch mal bitte diese Seite an: http://www.winfuture-forum.de/index.php?showtopic=22844
 
@sensi: die seite rockt!!! :D :)
 
Also ich finde das erste Demonstrationsbeispiel als nicht so schlimm. Ich würde nie Daten in ein JavaScript-Fenster eingeben. Aber die zweite Möglichkeit ist viel unauffälliger. Das ist gar nicht gut.... FAZIT: Wichtige Seiten werden nur mehr in einem eigenen Fenster geöfnet
 
hm, also ich finde das mal wieder nutzlos diese Warnung. wie schon gesagt: wer ist so blöd und öffnet seine bankseite über eine unbekannte website? Und Wer gibt dann in einem aufpoppenden Fenster irgendwelche Daten ein, wo er es von seiner Bankwebsite doch anders kennt?
Und die 2. Methode ist mal völlig unauffällig, immerhin werden die Zeichen die eingegeben werden ja auf die andere Website übertragen und erscheinen dadurch nicht auf der Bank-Website. Und ich glaub selbst der größte DAU würde es merken wenn er anfängt seine Login-Daten einzugeben und diese nicht in den Login-Feldern angezeigt werden.
 
werde mit meinem firefox trotzdem weiterhin tabbed browsing nutzen :-)
 
Also ich kann nur so viel sagen. Im Opera passiert gar nix böses !
Die beispiele haben auch nicht so funktioniert wie es dranstand...
 
@Fenris: Ja, ist bei mir auch so.
 
Was lernt und der heutige Tag? Eine Sicherheitslücke bei den Tabbed-Browsern wie Firefox & Co. und eine Sicherheitslücke beim Internet Explorer gefunden. Beides ist nicht gut, aber das ist nun mal so. Ich will hier auch nicht darauf eingehen welche der beiden Lücken schlimmer ist, Lücke bleibt schlussendlich Lücke. Je grösser der Marktanteil von Alternativ-Browsern wird, je mehr Sichererheitsexperten und Hacker werden sich damit beschäftigen Lücken zu finden und werden sicher auch fündig werden. Es zeigt uns das sowohl bei den Alternativ-Browser Herstellern wie bei Microsoft "halt auch nur mit Wasser gekocht wird". Den Alternativ-Browser Herstellern ist zugute zuhalten, dass sie meistens ziemlich schnell reagieren und Patches bereitstellen. Sie haben es aber auch ein bisschen einfacher da sie nur ein Produkt betreuen/patchen müssen und meist eine viel schlankere Organisationstruktur als Microsoft aufweisen. Microsoft hingegen muss X Versionen an Patches bereitstellen (IE v5.0, v5.5, v6.0 und das jeweils für verschiedene Windows Version und Service Pack Levels). Ausserdem ist Microsoft ein Grosskonzern der naturgemäss träger reagiert (was sicher nichts Positives ist).
Ein Unterschied ist in der Bewertung der beiden Lücken durch die Winfuture Leser auszumachen. Beim Tabbed-Browsing Fehler wird mehrheitlich wohlwollend reagiert mit Kommentaren wie "ist nicht so schlimm", "lächerlich", etc. Der Internet Explorer wird dagegen meist nicht so wohlwollend behandelt. Schon der erste Kommentar enthält "kann nur über IE lachen". Die wirklich abfälligen Kommentare über Microsoft/IE sind (bis jetzt) heute ausnahmsweise ausgeblieben, was wohl am gleichzeitig publizierten Tabbed-Browsing Fehler liegt. Mein Tip für "beide Seiten": Immer schön sachlich und fair bleiben (und das nicht nur heute). Der Fairness halber habe ich den genau gleichen Kommentar auch bei der Internet Explorer Fehler News gepostet.
 
Ich finde die Aussage "Microsoft hat so viel zu tun" einfach nur lächerlich. Die besitzen ein eigenes Team das sich ausschliesslich mit dem Internet Explorer auseinander setzt. Dem Kunden ist es wahrscheinlich egal wieviel ein Konzern zu tun hat. Gerade wenn ein Konzern so groß ist, hat er doch wesentlich mehr proffessionelle Möglichkeiten als so ein kleiner open source verein. Bitte mal die Verhältnisse wahren und nicht immer alle Microsoftvergehen mit "kann ja mal passieren" kommentieren. Microsoft muss selbst sein Image aufbessern indem es bessere Produkte entwickelt. Vertrauen muss man sich verdienen. Die Kleinen machen es seit gut zwei Jahren vor.
 
@frankenstein: 1) Ich habe nirgends die Aussage gemacht "Microsoft hat so viel zu tun". 2) Meines Wissens wurde das Internet Explorer Team vor ca. 3 Jahren aufgelöst. 3) Habe ich nicht mit "kann ja mal passieren" kommentiert sondern mit "beides ist nicht gut", "Lücke bleibt schlussendlich Lücke" und "was sicher nichts Positives ist". 4) Ich habe versucht in meinem Kommentar möglichst neutral zu bleiben und beide Seiten zu sehen, Du hingegen fällst sofort über die eine Seite her.
 
@ swissboy: Ich habe lediglich meine Meinung geäußert. Ich falle über niemanden her, diesen Eindruck wollte ich nicht hinterlassen.
 
@frankenstein: O.K., akzeptiert! PEACE
 
Wohl gemerkt. es sind auch alle IE-Aufsätze betroffen, die Tabs erlauben, nicht das hier jemand auf falsche gedanken kommt :)
 
@Bugzilla: echt? wer sagt das, hast du das gerade erst gelesen oder bist selbst drauf gekomm? ...
 
@bond7: eigendlich nur geraten
 
Zweite benannte Lücke funktioniert nicht mit Firefox 1.0 Beta. Frühere Versionen kann man, und so war es schon seit jeher bei mir, durch ein user_pref("capability.policy.default.Elements.focus", "noAccess"): in der prefs.js schützen und beugt somit auch anderen Lücken bezüglich der focus()-Funktion vor.
 
@Rika: Wenn Du deinen Tip so formulieren würdest dass ihn auch ein Normal-User versteht, wäre er auch wirklich von Nutzen. Vielleicht eine kleine Step by Step Anleitung oder so?
 
@swissboy: Firefox schließen! Im Ordner C:\Dokumente und Einstellungen\Benutzername\Anwendungsdaten\Mozilla\Firefox\Profiles\xxxxx.default Rechtsklick auf "prefs.js" Bearbeiten und "user_pref("capability.policy.default.Elements.focus", "noAccess"):" einfügen.

Jedoch funzt die o.g. 2. Demo bei mir trotzdem noch (mit FF 1.0 Beta)
 
haha...rika hat gesucht gesucht und gesucht ,nur damit er einen strohhalm fand der wenigstens den firefox entlastet....der gedankengang ist aber wirklich verworren wenn man seine ausführungen liest...kein wunder das die überlegung dann doch nicht funktioniert.
 
Das kann so aber nicht ganz sein, denn bei mir tut sich in der Tat bei dem zweiten Test mit der Nightly vom 18.10. ebenfalls absolut nichts... ^^
 
@NewRaven: Kleiner Fehler meinerseits. Ich meinte die FF Version 0.10.1. Big sorry! Habe nun eine nightly build vom 20.10. drauf und nun geht die 2. Demo nicht mehr. Link zu dieser Version: http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/2004-10-20-09-0.9-l10n/firefox-1.0.de-DE.win32.installer.exe
 
Also ersteres zielt wohl eher an die Unaufmerksamkeit der User ab - als wirkliche Sicherheitslücke würde ich das nicht bezeichnen. Erstens ist die JavaScript-Eingabeaufforderung etwas auffällig, weitens wird sich kein normaler Mensch über einen Link einer anderen, externen Seite geich direkt bei seiner Bank einloggen und drittens genügt ein kurzer Blick in den Quellcode, um zu sehen, woher das Script kommt (okay, das wird der Normaluser im allgemeinen nicht tun, trotzdem). Lücke zwei sieht da schon etwas mieser aus, aber erstens auch nicht gerade unauffällig, wenn die Eingaben plötzlich wieder verschwinden und zweitens, wie Rika schon sagte, in den aktuellen Firefox-Builds passiert bei mir da garnix :)
 
ich hab die erste Luecke mal im ganz normalen IE ohne Aufsatz probiert, nur in nem neuen Fenster geöffnet, und siehe da, ich hab mein Geschriebenes gesehn, wie kann das sein??
Ie, ohne Aufsatz.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles