IE8: Lücke macht XSS-Filter zu Hilfsmittel für Angreifer

Internet Explorer Microsoft will innerhalb der nächsten zwei Monate ein Sicherheitsupdate für den Internet Explorer 8 veröffentlichen, das Probleme mit dem Cross-Site-Scripting-Filter (XSS) beseitigen soll. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
ich bin ja nicht allwissend, aber meiner meinung nach ist xss ein problem des servers und nicht des clients.. wie sollte IE8 beispielsweise Bing, Google.com, Wikipedia.org und Twitter anfällig machen?
 
@wischi: javascript wird clientseitig ausgeführt.
Wie der IE8 eine Seite anfällig machen kann ich in der Theroie einfach. Stell dir vor dieses Addon Scannt den html code nach z.B. <script>alert("XSS");</script> und würde daraus z.B. &lt;script&gt;alert(1)&lt;/script&gt; wenn der scanner jetzt aber &lt;script&gt;alert(1)&lt;/script&gt; lesen würde spuckt er <script>alert("XSS");</script> aus.
Dies ist nur ein Beispiel was vll bissl aus der luft gegriffen ist aber wayne^^
 
@xeno: ja ich weis, das javascript clientseitig ausgeführt wird, aber wie bringe ich denn das besagte javascriptscript welches im html steht, was ja vom server generiert wird auf den server der mit nicht gehört (z.b. Google?)
 
@wischi: http://www.google.de/#hl=de&q=<script>alert("XSS")%3B<%2Fscript>
 
Wäre ja irgendwie bedauerlich, wenn man fast schon sagen könnte, dass man ohne diesen Filter sogar besser gegen XSS geschützt ist, als mit.
Kommentar abgeben Netiquette beachten!