Firefox: Design-Schwäche seit 11 Jahren unbehandelt - und ausgenutzt
Einmal mehr steht aktuell ein Design-Fehler im Firefox-Browser im Fokus, mit dem die Betreiber unseriöser Webseiten die Besucher auf ihrem Angebot festhalten. Bemerkenswert dabei ist die Tatsache, dass dieses Problem seit nunmehr elf Jahren bekannt ist und von Mozillas Entwicklern einfach ignoriert wird.
Der Trick dahinter funktioniert im Grunde recht simpel: In die jeweilige Webseite wird ein iFrame eingebaut, über das Inhalte einer bestimmten anderen Domain aufgerufen werden. Das führt hier nun dazu, dass ein Authentifizierungs-Dialog aufpoppt. Wird das Abfrage-Fenster geschlossen, löst dies automatisch eine Schleife aus, die sofort wieder einen neuen Dialog hervorbringt.
Der Anwender bleibt so auf der jeweiligen Seite gefangen. Der Sinn einer solchen Aktion lässt sich nicht immer direkt erkennen, allerdings dürfte es in den meisten Fällen darum gehen, in anderen Bereichen beispielsweise immer wieder einmal Werbeeinblendungen neu nachzuladen und so Einnahmen zu generieren. Heraus kommt der User aus der Falle nur, wenn er den Browser komplett neu startet, wie das US-Magazin ZDNet berichtet.
Bei Mozilla ist hingegen bisher nichts passiert - und das, obwohl das Problem mit einigen zeitlichen Abständen immer wieder gemeldet wurde. In der Bug-Report-Datenbank des Firefox ist das Problem bereits sieben Mal zu unterschiedlichen Zeitpunkten vermerkt worden. Korrigiert wurde es aber aus unbekannten Gründen bisher nicht, so dass die Design-Schwäche aktuell beispielsweise für eine Kampagne genutzt werden kann, mit der man Anwendern manipulierte Browser-Erweiterungen unterschieben will.
Download Mozilla Firefox - Kostenloser Open-Source-Browser
Der Anwender bleibt so auf der jeweiligen Seite gefangen. Der Sinn einer solchen Aktion lässt sich nicht immer direkt erkennen, allerdings dürfte es in den meisten Fällen darum gehen, in anderen Bereichen beispielsweise immer wieder einmal Werbeeinblendungen neu nachzuladen und so Einnahmen zu generieren. Heraus kommt der User aus der Falle nur, wenn er den Browser komplett neu startet, wie das US-Magazin ZDNet berichtet.
Anderswo gibt es Lösungen
Andere Browser-Hersteller haben die Methode schon vor vielen Jahren ausgebremst. In Microsofts Edge wird die Anzeige eines solchen Dialogs zur Passwort-Abfrage stets erst nach einer kleinen künstlichen Verzögerung geöffnet. Das gibt dem Anwender im Zweifel ein kurzes Zeitfenster, in dem der jeweilige Tab geschlossen werden kann. Die Chrome-Entwickler haben den Authentifizierungs-Dialog hingegen an einzelne Tabs und nicht mehr an das komplette Browser-Fenster gekoppelt, so dass betroffene User einfach zu einer anderen Seite wechseln und den gekaperten Tab schließen können.Bei Mozilla ist hingegen bisher nichts passiert - und das, obwohl das Problem mit einigen zeitlichen Abständen immer wieder gemeldet wurde. In der Bug-Report-Datenbank des Firefox ist das Problem bereits sieben Mal zu unterschiedlichen Zeitpunkten vermerkt worden. Korrigiert wurde es aber aus unbekannten Gründen bisher nicht, so dass die Design-Schwäche aktuell beispielsweise für eine Kampagne genutzt werden kann, mit der man Anwendern manipulierte Browser-Erweiterungen unterschieben will.
Download Mozilla Firefox - Kostenloser Open-Source-Browser
Thema:
Beliebte Firefox-Downloads
Foren-Beiträge zum Firefox
-
Neu: Firefox 137.0 veröffentlicht: viele interessante Neuerungen
d-hubs -
Firefox 136 freigegeben: viele Neuerungen mit an Bord
d-hubs -
Firefox 135.0 freigegeben neue Features, diverse Updates und Fixes:
d-hubs -
Firefox jeden Tag neu starten
joe13 -
Mozilla Firefox 133 freigegeben: mit an Bord viele Verbesserungen
d-hubs
Weiterführende Links
Neue Nachrichten
- Amazon Prime Day: Die Tages- und Blitzangebote im Vergleich
- Mythos-Sperre: KI hackte "fast alle" NSA-Systeme "in wenigen Stunden"
- Die Steam Machine ist da: Valve enthüllt Preis und Spezifikationen
- AMD Radeon: FSR 4.1 landet ab sofort auf Millionen älterer Grafikkarten
- Nürburgring-Rekord: Xiaomi YU7 GT meistert Grüne Hölle ohne Fahrer
- WhatsApp bekommt einen neuen Chef - für bessere Monetarisierung?
- CD Projekt Red: Cyberpunk-2077-Debakel wirkt bis heute nach
Videos
Beliebte Downloads
Beliebte Nachrichten
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
oSC Nürnberg 25.–27. Juni - das OpenSuse-Meeting
d-hubs - 20.06. 13:40 Uhr -
Die allerneueste Version, TrueNAS 26.0.0-BETA.2
d-hubs - 19.06. 14:50 Uhr -
Wie kann ich die Untertitel einem Video hinzufügen?
Rizo - 19.06. 11:14 Uhr -
Datenträgerverwaltung
micro300 - 19.06. 08:52 Uhr -
KDE kommt mit Plasma 6.7
d-hubs - 18.06. 20:26 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen