Ist diese Lücke jetzt gefixt ?

  • bugcatcher

    Welchen Hinweis bekommst du denn genau ? Meinst du etwa den Hinweis, der nach Eingabe des von dir wählbaren Textes Kommt ? Oder erscheint ein Text bzw. eine Meldung vom FF ? Ein Screenshot wäre eventuell hilfreich.

    Tja, und der spoofstick, den ich installiert habe, erkennt NICHT, das die Seite
    eine FALSCHE Seite bzw. eine gespoofte Seite ist !

    Vielen Dank für die Antwort !

    cu

    goodmen

  • Zitat von goodmen

    Bin jetzt auf
    die 1.0.6 umgestiegen (von1.0.4) und stelle fest, dass das hier immer
    noch klappt !!! Ist das jetzt ein BUG oder bewusst nicht gefixt worden ?
    Mache ich was falsch ? Jetzt sagt bitte nicht, dass ich auf Java-Script
    verzichten soll :) !!

    Also ich hab jetzt keine ältere Firefox Version mehr hier um zu vergleichen, aber in dem von dir verlinkten Secunia advisory ging es doch darum, dass nicht ersichtlich ist, welche Seite den Javascript Dialog aufgerufen hat.

    Das ist mit der 1.0.6 klar ersichtlich:

    [Blockierte Grafik: http://img289.imageshack.us/img289/945/diaspoof8qv.png]

  • Hi Leutz,

    ich hab mal zum Vergleich mit dem original Protable Firefox 1.0.4 getestet, seht selbst:

    [Blockierte Grafik: http://img336.imageshack.us/img336/1685/securitysurveyfx1045oh.gif]

    Man kann aber dieses Problem auch mit älteren Firefoxversionen eindämmen, wenn man folgende Einstellungen beachtet:

    1.)
    Falls man die Erweiterung TabMix/TabMixPlus installiert hat, dann sollte dort unter
    ALLGEMEIN > JavaScript-Popups: "keine zusätzlichen Einstellungen" ausgewählt sein.

    2.)
    In den Firefox-Einstellungen sollte unter
    EXTRAS -> EINSTELLUNGEN... -> Web-Features -> JavaScript [Erweitert...]
    nur die letzte Option aktiviert sein

    [Blockierte Grafik: http://img208.imageshack.us/img208/6934/javascript_optionen.jpg]

    3.)
    Es sollten zusätzlich folgende Einstellungen

    Code
    user_pref("dom.disable_window_open_feature.directories", true);
    user_pref("dom.disable_window_open_feature.personalbar", true);
    user_pref("dom.disable_window_open_feature.titlebar", true);
    user_pref("dom.disable_window_open_feature.toolbar", true);
    user_pref("dom.disable_window_open_feature.resizable", true);
    user_pref("dom.disable_window_open_feature.minimizable", true);
    user_pref("dom.disable_window_open_feature.menubar", true);
    user_pref("dom.disable_window_open_feature.location", true);
    user_pref("dom.disable_window_open_feature.scrollbars", true);
    user_pref("dom.disable_window_open_feature.status", true);

    über "about:config" oder "user.js" vorgenommen werden.


    Zusammengenommen bewirken diese drei Maßnahmen, dass erstens neue Fenster/Popups in ganzer Größe dargestellt werden und desweiteren alle Elemente (Titelzeile, Menüzeile, Navigations-Symbolleiste, usw.) enthalten und bedienbar sind. Somit wird dann auch in der Adresszeile die korrekte momentane Adresse angezeigt.

    Dies zeigt mal wieder, wie wichtig es ist, dass der Anwender erkennt, dass er selbst durch umsichtiges Verhalten (hier im Bezug auf Einstellungen, die er ja selbst vornehmen kann) zumindest teilweise leichter erkennen kann, wenn er in eine Falle gelockt werden soll.

    Have fun,
    NightHawk

  • NightHawk56: Das aktuelle Problem handelt um Javascript-Eingabeaufforderungs-Fenster. Die haben mit normalen Browserfenstern nichts zu tun. Da würden Deine Massnahmen nicht greifen. ; )

  • bugcatcher,

    aber zumindest in diesem Test erscheint doch zunächst ein Popup, normalerweise klein und hinter der sich danach öffnenden Eingabebox versteckt. Dieses Fenster wird durch obige "Maßnahmen" aber wie beschrieben groß und mit Adresszeile dargestellt. Falls es so sein sollte, dass dieses Fenster nicht immer hinter der Eingabebox auftaucht (also garnicht nötig ist), dann greifen diese "Maßnahmen" allerdings nicht und ich habe auch dann anscheinend das Problem nicht wirklich verstanden, sorry.

    Have fun,
    NightHawk

  • NightHawk56 und Bugcatcher

    Ich finde es echt klasse, dass ihr euch dieser Sache so annehmt. Ihr habt mir beide sehr geholfen. Ich möchte solche "Lücken " einfach verstehen und diese dann entsprechend fixen bzw. unterbinden. Denn eins ist klar:
    ES geht nix über den FF !!!

    Ich werde mal die Tipps von NightHawk56 umsetzen und schauen was da so
    passiert.

    bugcatcher

    Kannst du mir bitte mal genau erklären, warum diese Massnahmen NICHT
    greifen würden ???

    Danke an beide !

    cu

    goodmen

  • Sie Einstellungen greifen. Aber sie haben mit dieser "Sicherheitslücke" nichts zu tun. In der geht es nämlich darum, dass im Eingabefenster (nicht) die URL steht, von dem dieses aufgerufen wurde. Die Einstellungen dagegen steuern das PopUp-Fenster mit dem (keineswegs gefälschtem) Google drin.

  • Zitat von Dr. Evil

    Die Einstellungen dagegen steuern das PopUp-Fenster mit dem (keineswegs gefälschtem) Google drin.


    Aber die Seite, die bei mir im Vordergrund ist, ist bestimmt nicht Google. :shock:

  • @all

    Hi Leute !

    ich glaube, ich habe jetzt die richtige Einstellung im FF gefunden, dass ich sofort erkennen kann, dass ich auf einer gefälschten Seite bin.

    Ich habe in den Einstellungen folgendes eingestellt:
    Alle Links öffnen in neuem Tab und ALLE Java-Script Popups in neuem Tab öffnen. Dann zeigt mir auch der Spoofstick an, dass die Seite gefälscht ist !

    Ich hoffe, dass das die richtige Einstellung ist. Oder gibt es damit andere
    Probleme ?

    Danke Jungs !

    Habe jetzt noch was festgestellt !

    Wenn ich in den Einstellung im FF Links im aktiven Tab öffnen lasse, dann
    bekomme ich, wenn ich bei Secunia den Test-Link anklicke, nur die http://www.google.de Seite angezeigt! Kein Java-Script-Fenster, keine Spoof-Adresse im Spoofstick. Heisst das jetzt, dass ich aif der Original-Seite von google bin, oder ist das eine gespoofte Seite ?
    Wenn das die Original-Site ist, dann könnte man das Problem doch auf diesem Wege lösen, oder ?

    cu

    goodmen :lol: