|
22. Juni 2008
Sind Webformulare die große Bedrohung ?Es sollte im Interesse eines jeden Nutzer des Internets sein, einen möglichst sicheren Browser zu benutzen. Einem Experten-Team ist nun jedoch gelungen, die offensichtlich wirkliche Bedrohung ausfindig zu machen, bei der auch der sicherste Browser machtlos scheint. Kein Upgrade und kein Hotfix sind gegen die Tücken manipulierter Webformulare gefeit. Das Problem ist seit über sechs Jahren bekannt, doch scheint dies kein Entwickler-Team wirklich brennend zu interessieren. Eigentlich möchte man es gar nicht glauben, dass das Ausfüllen eines Formulars über das Internet eine solch große Gefahr darstellen soll. Schließlich handelt es sich dabei um etwas schon fast Alltägliches und Vertrautes. Einer Gruppe von Wissenschaftlern ist nun jedoch gelungen, die wahren Risiken des Web zu offenbaren. Der Browser selbst kann nicht unterscheiden, ob er auf einen HTTP-Server surft oder eben nicht. Möchte sich der User nun den Inhalt eines Nicht-HTTP-Servers ansehen, so erhält er üblicherweise eine Fehlermeldung. Und für einen Angreifer stellt es keine Schwierigkeit dar, an diese Meldung Schadcode anzuhängen. In Kombination mit einer cross-site-scripting (XSS) Attacke ist der Kampf für ihn schon fast gewonnen - und der Zugriff auf die Daten des Users so gut wie sicher. Dieses Problem in Bezug auf das HTTP Protokoll ist schon lange bekannt und darum wird es von den modernen Webservern auch standardmäßig ausgeschaltet. Die einzige Lösung für dieses Problem sei es, den Browser so zu programmieren, dass er die Antworten eines Nicht-HTTP-Servers auch nicht in HTML rendert. Möglicherweise würde es schon genügen, einfach nur den Antwort-Header von HTTP zu lesen. Sollte dort etwas wie HTTP 1.0 der 1.1 stehen, dann kann der Browser beginnen, die Seite zu rendern. Andernfalls ist er und der Anwender besser bedient, die Finger von der Seite zu lassen und dem Nutzer somit eine Menge Ärger zu ersparen. (via darkreading) Verwandte News
Trackbacks
Zitat: Zitat von erc Wieso ist es selbstverständlich, dass ein Browser auf einen HTTP Request, der eine ungültige Antwort erzeugt, dies drotzdem als HTML darstellt? Das ist doch allein ein hausgemachtes Problem der Browser-Entwickler. Oder anders. Was kann da ein Entwickler eines Dienstes wie FTP, SMTP, POP3 usw dafür das irgendein Client wirres zeug schickt und die standardkonforme Reaktion ein Sicherheitsproblem ... antiMahn am 24.06.2008 15:57
Habe ich doch oben bereits erklärt: Wenn die Antwort irgendwelche HTML-artigen Komponenten enthält und der Browser das dann fälschlicherweise extrem fehlertolerant als HTML interpretiert. aNtiCHrist am 24.06.2008 19:20
Zitat: Zitat von aNtiCHrist Habe ich doch oben bereits erklärt: Wenn die Antwort irgendwelche HTML-artigen Komponenten enthält und der Browser das dann fälschlicherweise extrem fehlertolerant als HTML interpretiert. Und was soll das alles mit Formularen zu tun haben die ich selbst ausfülle und an den Server sende? Und wie sollte daraus dann ein Sicherheitsproblem für den Client entstehen? antiMahn am 24.06.2008 21:27
Die Formulare füllst du natürlich nicht selbst aus, die werden dir fertig mit dem XSS-Code ausgefüllt von einer bösartigen Seite geliefert und dann per JS auch automatisch abgeschickt. Wenn der Dienst den gelieferten Code nun in irgendeiner Form wiederholt, führt der Browser ihn in dem Sicherheitskontext der Domain des Dienstes aus. Es reicht daher aus, wenn du eine bösartige Seite aufrufst und JS nicht deaktiviert hast. Das ... aNtiCHrist am 24.06.2008 21:47
|
gulli news abonnieren
