Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
Eigentlich möchte man es gar nicht glauben, dass das Ausfüllen eines Formulars über das Internet eine solch große Gefahr darstellen soll. Schließlich handelt es sich dabei um etwas schon fast Alltägliches und Vertrautes. Einer Gruppe von Wissenschaftlern ist nun jedoch gelungen, die wahren Risiken des Web zu offenbaren.
Schon im Jahr 2002 hat Sandro Gauci von der Firma EnableSecurity's auf Schwachstellen in HTML-Formularen hingewiesen. Und seitdem wurde bei fast keinem Browser das Problem gänzlich behoben. Auch Lücken, die schon so lange bestens bekannt sind, könnten es einem Angreifer ermöglichen, Schadcode auszuführen. Bekannte Ports, die häufig das Ziel von Angriffen sind, werden zwar geblockt, aber was nützt das schon, wenn dann einfach ein anderer Port genutzt wird. Führend in Sachen Port-Blocking seien Safari und Firefox, so der Experte. Das maßgebliche Problem dahinter ist, dass jeder Browser versucht, sein Bestes in Sachen Rendering zu geben und dadurch alles, was ihm in Sachen HTML in Hände gerät verarbeitet.
Der Browser selbst kann nicht unterscheiden, ob er auf einen HTTP-Server surft oder eben nicht. Möchte sich der User nun den Inhalt eines Nicht-HTTP-Servers ansehen, so erhält er üblicherweise eine Fehlermeldung. Und für einen Angreifer stellt es keine Schwierigkeit dar, an diese Meldung Schadcode anzuhängen. In Kombination mit einer cross-site-scripting (XSS) Attacke ist der Kampf für ihn schon fast gewonnen - und der Zugriff auf die Daten des Users so gut wie sicher. Dieses Problem in Bezug auf das HTTP Protokoll ist schon lange bekannt und darum wird es von den modernen Webservern auch standardmäßig ausgeschaltet. Die einzige Lösung für dieses Problem sei es, den Browser so zu programmieren, dass er die Antworten eines Nicht-HTTP-Servers auch nicht in HTML rendert. Möglicherweise würde es schon genügen, einfach nur den Antwort-Header von HTTP zu lesen. Sollte dort etwas wie HTTP 1.0 der 1.1 stehen, dann kann der Browser beginnen, die Seite zu rendern. Andernfalls ist er und der Anwender besser bedient, die Finger von der Seite zu lassen und dem Nutzer somit eine Menge Ärger zu ersparen.
(via darkreading)
News Redaktion am Sonntag, 22.06.2008 20:04 Uhr
Tags:
firefox
internet explorer
lücke
gefahr
opera
netz
risiko
browser
html
webformulare
safari
bug
Die Formulare füllst du natürlich nicht selbst aus, die werden dir fertig mit dem XSS-Code ausgefüllt von einer bösartigen Seite geliefert und dann per JS auch automatisch abgeschickt. Wenn der Dienst den gelieferten Code nun in irgendeiner Form wiederholt, führt der Browser ihn in dem Sicherhe ...
Habe ich doch oben bereits erklärt: Wenn die Antwort irgendwelche HTML-artigen Komponenten enthält und der Browser das dann fälschlicherweise extrem fehlertolerant als HTML interpretiert. Und was soll das alles mit Formularen zu tun haben die ich selbst ausfülle und an ...
Habe ich doch oben bereits erklärt: Wenn die Antwort irgendwelche HTML-artigen Komponenten enthält und der Browser das dann fälschlicherweise extrem fehlertolerant als HTML interpretiert. ...
Wieso ist es selbstverständlich, dass ein Browser auf einen HTTP Request, der eine ungültige Antwort erzeugt, dies drotzdem als HTML darstellt? Das ist doch allein ein hausgemachtes Problem der Browser-Entwickler. Oder anders. Was kann da ein Entwickler eines Dienstes wie FTP, SMTP, PO ...
Selbstverständlich stellt der Browser alles dar, was der Server ihm als Response anbietet; es obliegt also dem Server (oder besser: den auf dem Server für die Verarbeitung von Requests zuständigen Programmen) durch geeignete Maßnahmen dafür zu sorgen dass kein schädlicher Code ...
Lars Sobiraj am 20.05.2012, 16:54 Uhr
Im US-amerikanischen iTunes Store wurden statt dem Begriff "Jailbreak" lediglich Sternchen zwischen dem Anfangs- und Endbuchstaben angezeigt. Davon waren letztlich alle Kategorien betroffen. So wurden neben Apps auch Klingeltöne, Podcasts, Musikstücke, ganze Alben und eBooks zensiert angezeigt. Laut den Untersuchungen von Shoutpedia waren mehrere Monate lang 95% aller Begriffe davon betroffen.
Kämpfe als Held in diesem einzigartigen Fantasy Game. Viele Gefahren und Abenteuer erwarten dich! 
spielen
Erschaffe deine eigene Insel und erobere die Welt. Krieg oder Wachstum - deine Strategie entscheidet! spielen
Werde Gladiator und kämpfe im antiken Zeitalter um Ruhm und Ehre. Gehe Bündnisse mit anderen Spielern ein und kämpft gemeinsam gegen die schrecklichen Barbaren. spielen
Ziehe als einsamer Waldläufer oder an der Seite von Kampfgefährten in einem Fantasy-Spiel von Abenteuer zu Abenteuer. spielen
Tritt gegen legendären Samurai aus Japan des 19. Jahrhundert an und werde der gefürchtetste aller Samurai. spielen
Tritt in eine epische Schlacht zwischen Werwölfen und Vampiren, in der nur die Stärksten überleben werden, ein. spielen
