Chrome-Erweiterungen schalten wichtige Security-Optionen einfach ab
unter die Lupe, was die Codes eigentlich sonst so tun. Und hier förderten sie eine beunruhigende Tatsache zu Tage: Zahlreiche Chrome-Erweiterungen nehmen einfach Änderungen an den HTTP-Security-Headern vor.
Diese Daten sind ein wichtiger Bestandteil der Kommunikation zwischen dem Webserver und dem Browser. Der Seitenbetreiber kann über diese Header dafür sorgen, dass bestimmte Sicherheits-Vorkehrungen auf der Seite des Nutzers aktiv werden. Beispielsweise lässt sich über "X-Frame-Options" einstellen, inwieweit eine Webseite in iFrames eingebunden werden darf. Falsche Konfigurationen könnten hier beispielsweise dazu führen, dass ein Angreifer eine Login-Seite in ein eigenes Angebot einfügt und die Eingaben der Login-Daten des Nutzers stiehlt.
Die Sicherheitsforscher haben insgesamt 186.434 Angebote im Chrome Web Store auf ein solches Verhalten untersucht. Dabei zeigte sich, dass immerhin 2.485 Erweiterungen Manipulationen an den vier Security-Headern vornahmen, auf die sich die Untersuchung beschränkte: Content-Security Policy (CSP), HTTP Strict-Transport-Security (HSTS), X-Frame-Options sowie X-Content-Type-Options. Manche griffen nur vereinzelt in die fraglichen Konfigurationen ein, 553 Erweiterungen schalteten aber alle Security Header aus.
Bisherige Untersuchungen zur Sicherheitslage bei den Browser-Erweiterungen drehten sich in der Regel um die Qualität der kleinen Programme selbst. Nun aber nahmen Mitarbeiter des CISPA Helmholtz Zentrums für IT-Sicherheit Diese Daten sind ein wichtiger Bestandteil der Kommunikation zwischen dem Webserver und dem Browser. Der Seitenbetreiber kann über diese Header dafür sorgen, dass bestimmte Sicherheits-Vorkehrungen auf der Seite des Nutzers aktiv werden. Beispielsweise lässt sich über "X-Frame-Options" einstellen, inwieweit eine Webseite in iFrames eingebunden werden darf. Falsche Konfigurationen könnten hier beispielsweise dazu führen, dass ein Angreifer eine Login-Seite in ein eigenes Angebot einfügt und die Eingaben der Login-Daten des Nutzers stiehlt.
Tiefer Eingriff
Weiterhin sorgen die Security-Header für den Aufbau ordentlich verschlüsselter Verbindungen, den Schutz vor XXS-Angriffen und einigem mehr. Daher stellt es ein nicht zu verachtendes Problem dar, wenn die Erweiterungen einfach in die Kommunikation zwischen Browser und Server eingreifen und Änderungen an ihnen vornehmen.Die Sicherheitsforscher haben insgesamt 186.434 Angebote im Chrome Web Store auf ein solches Verhalten untersucht. Dabei zeigte sich, dass immerhin 2.485 Erweiterungen Manipulationen an den vier Security-Headern vornahmen, auf die sich die Untersuchung beschränkte: Content-Security Policy (CSP), HTTP Strict-Transport-Security (HSTS), X-Frame-Options sowie X-Content-Type-Options. Manche griffen nur vereinzelt in die fraglichen Konfigurationen ein, 553 Erweiterungen schalteten aber alle Security Header aus.
Siehe auch:
Thema:
Aktuelle Chrome-Downloads
Neue Chrome-Bilder
Videos über den Chrome-Browser
- Chrome: Das sind die neun Feineinstellungen für das Werbetracking
- Chrome und Edge 100: So macht man den Browser bei Problemen fit
- Screenshots kompletter Webseiten im Chrome: So klappt es einfach
- Chrome: So holt ihr "https" und "www" zurück in die Adressleiste
- Chrome 70 bringt Progressive Web Apps für Windows 10-Desktops
Beiträge aus dem Forum
Interessante Links
Jetzt als Amazon Blitzangebot
Ab 07:20 Uhr Doqaus Bluetooth Kopfhörer Over Ear
Original Amazon-Preis
38,99 €
Im Preisvergleich ab
43,99 €
Blitzangebot-Preis
34,99 €
Ersparnis zu Amazon 10% oder 4 €
Neue Nachrichten
- Streamer Ninja hat Krebs: "Lasst euch regelmäßig vom Arzt checken!"
- Sony WH-ULT900N: Neue Kopfhörer mit ANC & Ultra Power Sound
- Erde dreht sich immer schneller: Negative Schaltsekunde wird bald nötig
- Elon Musk zum Billig-Tesla: Mitarbeiter werden "am Fließband schlafen"
- Entgegen dem Trend: Hyundai will massiv in Elektroautos investieren
- Tesla will allen Autokäufern eine Full-Self-Driving-Demo aufzwingen
- Circle to Search: Einkreis-Suche auf vielen neuen Geräte, neue Features
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen