CSRF Die Gefahr von Cross-Site Request Forgery-Attacke wächst auch bei bekannten Webseiten

Die Sicherheitsexperten Ed Felten und Bill Zeller berichten, dass die Gefahr von sogenannten Cross-Site Request Forgery (CSRF) Attacken wächst. Selbst auf großen Webseiten wie der New York Times oder der amerikanischen Version der ING Direktbank bestand dieses Sicherheitsrisiko und wurde kurzzeitig behoben. Das größte Problem an den CSRF-Attacken ist, dass sie komplett unsichtbar ablaufen, meist nicht bemerkt werden und zum Teil einen finanziellen Schaden für die Nutzer herbeiführen könnten.

In dem Bericht auf dem Weblog von Bill Zeller ist die Rede davon, dass die Gefahr dieser Attacke selbst bei YouTube, der New York Times, der ING Direktbank und Metafilter.com bestand. Auf allen betreffenden Webseiten sollen die Schwachstellen inzwischen wieder behoben sein. Nur bei der New York Times würde das Problem noch bei einer bestimmten Funktion bestehen. Spammer könnten so an E-Mail-Adressen von Nutzern kommen, die einen Account bei auf der Webseite haben. Zusätzlich sei problematisch, dass die Cookies dort noch immer für ein ganzes Jahr gespeichert werden. Daran, dass dieses Risiko auch bei so stark frequentierten Webseiten wie den hier angegebenen besteht, erkennt man das Ausmaß des Problems.

Bei der CSRF-Attacke wird die eigentliche Seite nicht manipuliert, sondern der Angreifer nutzt im Browser gespeicherte Cookies, um im Namen des Nutzers heimlich auf fremden Webseiten Aktionen auszuführen zu lassen. In Extremfall könnte das sogar eine Überweisung von einem Konto oder eine Bestellung in einem Webshop sein - ohne dass der Nutzer davon weiß. Als eingeloggter User muss man lediglich eine fremde Webseite besuchen, auf der beispielsweise ein manipuliertes HTML-Tag vorhanden ist.

Ausführliche Informationen zu der CSRF-Attacke gibt es auf der Wikipedia. Darüber hinaus wird empfohlen, sich auf Webseiten nach dem Besuch regelmäßig auszuloggen. Auch soll das No-Script Add-On für den Firefox vor dieser Attacke einen Schutz bieten. (020200)

(via Webmonkey)

News

• Autor:
• Datum: 01.10.2008 - 02:28
• Alter: 278 Tage
• gulli News abonnieren?

Links

• Weblog von Bill Zeller
• gibt es auf der Wikipedia
• No-Script Add-On
• Webmonkey

Trackbacks

• Es sind noch keine Trackbacks zu diesem Artikel vorhanden.
• » Keine Trackbacks   » Trackback URL dieses Artikels

• Kommentar schreiben