Neue Angriffsmethode bedroht faktisch alle Browser

Sicherheitslücken Sicherheitsexperten haben vor Architektur-Fehlern in Browsern gewarnt, die zu einer neuen Angriffsart, dem Clickjacking, führen können. Risiken bestünden demnach bei allen weiter verbreiteten Web-Clients. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
ich frage mich gerade wie jmd an meinem router, der mit passwort geschützt ist was ändern können soll ohne das er das passwort kennt, ich mein nur weil der code auf meinem rechner ausführt kommt der doch noch lang nich an andere geräte dran nur weil ich mit denen verbunden bin.
 
@DataLohr: du willst gar nicht wissen (ich wills auch nicht) wieviele router es gibt, die nach wie vor das standardpasswort haben ..
 
@DataLohr: Der Router wird solange mit Benutzer/Passwörter attackiert bis es passt.Viele benutzen die vorgegeben einstellungen und somit auch STANDARD-Passwörter.So einfach ist das.(@TTDSnakeBite: :-)
 
@DataLohr: es ist zB auch über UPnP ohne Passwort möglich, solange man die anfrage zur Portfreigabe aus dem lokalen Netz macht, was ja mit client side scripts gegeben wäre...
 
@AlexB: wenn schon bei standard deine shift taste klemmt schreibs doch zumindest mit D^^
 
@TTDSnakeBite: Macht den Kohl auch nicht Fetter :-)BTT
 
@DataLohr: in kurzform: clickjacking funktioniert so ähnlich wie cross-site request und mit diesem kann man sehr viel anstellen wie zb. history oder passwörter aus dem browser auslesen usw. leute die ihr passwort im browser für den router gespeichert haben könnten somit dem angreifer das tor zu router öffen. generell um clickjacking oder cross-site request auszuweichen, müsste man javascript,java, flash und sämtlich plugins abschalten.
 
@AlexB: http://www.k-faktor.com/standart/
 
@OSLin: Meinst Du echt es gibt so krasse Trottel? Ist ne ernstgemeinte Frage. Aber das mit Passwörtern gab es ja schon im Zusammenhang von FF3.02 auf 3.03.
Das ist schon harter Tobak dann. Ansonsten mal danke für die kurze Erklärung.
 
Vielleicht sehe ich das etwas zu extrem. Auf meinem PC gibt es weder ein Paßwort noch einen Benutzernamen. Das befindet sich auf einem Blatt Papier. Will ich irgendwo rein, dann gebe ich immer alles neu ein.
 
@bet_on_M$:

Japps, funktioniert einwandfrei ^^
...die zu einer neuen Angriffsart, dem Clickjacking, führen können...

Neu???? Ich bitte euch....
 
So ganz vertseh ich nicht wie es funktionnieren soll. Wie schaffen die es Clientseitig (also auf meinem PC) den Quelltext einer Webseite zu verändern bzw. die Aktionen bei einem klick umzubiegen?
 
@DrJaegermeister: Das ganze sollte in etwas so ablaufen denke ich: Also zunächst sucht sich der Hacker ne Webseite die ihm so grad gefällt. Hat er sie gefunden, beginnt er mit dem "Clickjacking". Er schleust also in den Quelltext Schadcode ein. Also hierbei belegt er Buttons einer Webseite mit neuen Funktionen. Kommt nun ein User auf diese Webseite und klickt auf einen dieser Buttons, ist es geschehen und der Hacker ist glücklich...
Edit: Um den Quelltext Clientseitig zu verändern, bedarf es einfachen Mitteln. Es gibt Programme, welche den Postback der Seite abfangen, womit man danach den Code, welcher an den Server geschickt werden soll, verändern kann...
Wenns jemand noch nicht versteht, erkläre ich es demjenigen genauer.
 
@DrJaegermeister: Ich verstehe diese Wege auch noch nicht so ganz.
 
@DrJaegermeister: Nur mal so nebenbei - eben hattest du zwei mal (-) ... Und eines kam von mir. Weißt du auch warum? Weil ich mich Dussel verdrückt hatte. Irgendwer hatte dir ein Minus gegeben und ich wollte das mit einem Plus auf Null zurück setzen (ich finde, wer eine normale Frage stellt, sollte nicht mit so einem Unsinnigen Minus gestraft sein), hab mich total verdrückt und tierisch darüber geärgert, dass ich meine Bewertung nicht zurückziehen konnte! Aber jetzt sehe ich nach Aktualisieren des Browsers, dass alles wieder zurückgesetzt wurde *puh*
 
@DrJaegermeister: in dem man lücken,schwachstellen oder interne befehle aus aktive x oder anderen codezeilen des browsers ausnützt.
 
@Alex00:
Zitat:
"Also zunächst sucht sich der Hacker ne Webseite die ihm so grad gefällt. Hat er sie gefunden, beginnt er mit dem "Clickjacking". Er schleust also in den Quelltext Schadcode ein. Also hierbei belegt er Buttons einer Webseite mit neuen Funktionen."

Öhm, um Buttons neu zu belegen und dabei den Quellcode zu ändern, muss er definitiv Zugriff auf die Webseite selber, also den Server haben, das geht nicht clientseitig ! Wer seine Webseite also nicht entsprechend absichert, ist selber Schuld.
 
"Die Gefahr eines umfassenden Missbrauchs solcher Informationen sei noch zu hoch, hieß es." Aber große News schreiben ^^ Gibt ja auch niemanden, der sich mit sowas auskennt ... O.o
 
Is vergleichbar mit Greasemonkey scripten die nach dem Laden lokal die Seite so modifizieren können, dass andere Aktionen stattfinden können.
 
ohoh das geht ganz schnell , die machen dir dein backofen an und aus ^^

lol kp wüsste auch net wie des gehen sollte ,aber da können sich ja nun ertsmal die entwickler nen kopp machen
 
Hier könnten Sicherheitsdienstleister zumindestens Workarounds schaffen, z.b. über Firewall IPS-Systeme.
 
Ich kann zwar nur spekulieren, aber für mich klingt es so, als würde man dazu Javascript brauchen. Also für die "Schadcode-wird-durch-klicken-aktiv" Sache. Daher wäre ich mit Firefox + NoScript Addon auf der sicheren Seite.
 
wenn jemand irgend wo auf einen rechner zugreifen
möchte kommt er rein
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.