Australische Regierung prüft XUL-Interface

gammaburst

Hallo liebe Forennutzer,

mich stimmt bedenklich, daß es entsprechend
http://forums.speedguide.net/showthread.php?t=151850
einfacher sein soll, mittels XUL im Firefox den Nutzer auf gefälschte Seiten zu führen als mittels DHTML im Internetexplorer:

"The proof of concept linked above demonstrates that browser elements such as
menus and SSL certificate verifications screens can be replicated, so that a
cautious user verifying certificate details and the address of a site could be
mislead. In addition, the Firefox interface itself is written in XUL code
available with a standard Firefox install, so obtaining and modifying it for
malicious purposes is a trivial matter.

A similar spoofed interface could be created with DHTML and Internet Explorer
(and has been done as a proof of concept), though this interface would be more
complex to create. XUL has made creation of this much easier, and makes it
integrate more closely with the browser."

Und weiter:
"The Mozilla developers have made no indications that they will be changing the
behavior of the Mozilla browser to remove remote XUL functionality. However,
several options have been discussed on the Mozilla forums [3] which are
potential methods of mitigation."

Auf der Seite sind auch einige Möglichkeiten erwähnt, die Sicherheit bezüglich "remote XUL functionality" herstellen sollen.
Hat jemand Erfahrung damit? Funktionieren diese? Gibt es unerwünschte Nebeneffekte?

Wie kann man sich vor gefäschten Seiten am besten schützen?
Mein Firefox besitzt die Erweiterung spoofstick, damit ich wenigstens erkenne, falls ich mal auf einer gefälschten Seite landen sollte).

Gruß,
gammaburst

JonHa

Also, mit XUL ist es beispielsweise möglich, eine Menüleiste oder ähnliches so nachzubilden, wie es auch im Firefox aussieht. Wenn man jetzt mit JavaScript z.B. die echte Menüleiste ausblendet, oder ein Popup ohne menüleiste öffnet, kann man eben so ne falsche Menüleiste vortäuschen, und damit ziemlichen Unfug anstellen. Das ist schon richtig, jedoch so in jedem anderen Browser möglich (wenn auch vielleicht nicht ganz so einfach).

Um das Problem zu umgehen, muss man jediglich verhindern, dass vorhandene Sachen ausgeblendet werden (das geht in dern Erweiterten JavaScript-Optionen) und man sollte schon einen kritischen Blick darauf werfen, was eine unbekannte Webseite einem vorsetzt.

Es ist aber letzendlich recht unmöglich und auch nicht wirklich sinnvoll, so eine Art des spoofings zu verhindern.

Master X

lol, ich kann nicht mehr... :lol:

Erstmal sollte man stets aufs Datum achten und zweitens sollte man nicht nur Überschriften lesen, sondern auch die Details beachten. :roll:

Das ganze gilt nur für Firefox 0.9 ...

Außerdem schaut der Exploit lustig aus: http://www.nd.edu/~jsmith30/xul/test2/
Doppelte Zeilen oben, zwei Statuszeilen... :roll:

Der Bug ist übrigends auch schon Fixed: https://bugzilla.mozilla.org/show_bug.cgi?id=22183

NightHawk56

Hi Leutz,

in diesem Zusammenhang (Popups, JavaScript) weise ich mal wieder auf den Thread Verhindern: Popus verändern die Größe des Fenster! *nerv* (Link) hin (entsprechende Hinweise habe ich im Firefox-Wiki leider auf die Schnelle nicht gefunden).

Have fun,
NightHawk

Dr. Evil

Zitat von Master X

Außerdem schaut der Exploit lustig aus: http://www.nd.edu/~jsmith30/xul/test2/
Doppelte Zeilen oben, zwei Statuszeilen... :roll:

bei mir schaut er etwas anders aus:

Code

XML Parsing Error: undefined entity
Location: http://www.nd.edu/~jsmith30/xul/test2/browser.xul
Line Number 367, Column 7:      <menuitem id="context-setWallpaper"
------^

Wenn man auch versucht, DTDs aus dem Chrome zu laden...

Master X

Du bist auch ne Version weiter. Da ist es dann wohl nichtmal mehr im Ansatz möglich.

Dr. Evil

Sie müssten die DTDs (Sprachdateien) halt auch auf ihren Server laden. Und über den User-Agent herauskriegen, welche sie schicken müssen.

JonHa

Schließt mal alle Tabs bis auf das hier, Blendet alle Toolbars aus (nicht unbedingt nötig, sieht dann aber besser aus), und klickt dann mal auf folgenden Link:

http://home.arcor.de/jonha/spoof.xml

Sieht recht echt aus, oder?

(Zum Vergleichen könnte ihr gern auch mal das Theme ändern. Die xul-Datei passt sich an.)

Master X

Funktioniert bei mir nicht wirklich. Die ganze Toolbar ist weiss (anstatt Windows-grau).

JonHa

Naja. bei mir gehts. Mein Test ist auch nur ne Arbeit von wenigen Minuten und enthält bestimmt auch noch kleinere Fehler (Vor und Zurück-Buttons fehlen z.B. teilweise)
Es soll nur demonstrieren, dass sowas theoretisch möglich ist.

sopho

Ich finde die deutsche Übersetzung absolut liebenswert:
bei obigem Link
"http://home.arcor.de/jonha/spoof.xml "

bekomme ich die Fux-Meldung: Diese Webseite enthält merkwürdige Objekte.

"Merkwürdig" nennt er das. Ist ja richtig süß!
:lol: [/i]

JonHa

Das ist zwar keine deutsche übersetzung, sondern ein einfaches von mir gebasteltes Beispiel, aber es freut mich, dass du »merkwürdig« suß findest.

Orkan

Ist es möglich XUL-Darstellung im eigentlichen Browserbereich zu unterbinden?
Ist im Internet ja nich unbedingt Notwendig wenn man zB auf http://www.google.com/mozilla/google.xul verzichten kann.

JonHa

Zitat von Orkan

Ist es möglich XUL-Darstellung im eigentlichen Browserbereich zu unterbinden?

Nein. Es wurde von den Mozilla-Entwicklern bereits diskutiert, aber es scheint keine einfach zu realisierende Möglichkeit zu geben und außerdem geht davon keine direkte Gefahr aus. Gut; Das man damit die Benutzeroberfläche nachbilden kann, ist sicherheitsmäßig nicht gerade toll.

Allerdings kann eine Webseite keinen direkten Schaden verursachen, wenn sie XUL einstetzt. Die Webseite sieht dadurch nur wie das Betriebssystem/Die Firefox-Oberfläche aus, Software installieren oder ungewollten Code ausführen geht damit nur so weit, wie es auch bei normalen Webseiten möglich ist. Das abschalten von Javascript reicht in olchen Fällen eigentlich immer aus, um die gefakte Oberfläche wirkungslos zu machen.

Dr. Evil

du kannst durchaus (zumindest im Firefox 1.5) XUL über die userChrome.css verbieten. Du musst hinter die standardmäßig vorhandene @namespace-Zeile noch das hinzufügen:

Code

@namespace xul url(http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul);

und dann noch irgendwo drunter das einfügen:

CSS

@-moz-document  url-prefix(http://),
               url-prefix(https://),
               url-prefix(ftp://),
               url-prefix(data:),
               url-prefix(wysiwyg:)
{
    xul|* { display: none !important; visibility: collapse; }
}

(Ich hoffe, ich habe kein Protokoll vergessen.)

Wie JonHa schon geschrieben hat ist das aber nicht wirklich

Orkan

Ein sehr Interessant Thema.
Gibt es irgendwo einen kurzen Überblick über die Firefox Architektur. Mich würden auch Unterschiede ziwschen 1.0 und 1.5 interessieren.

Bazon Bloch

jedenfalls kann man damit lustigen Nonsens machen:
[Blockierte Grafik: http://img476.imageshack.us/img476/5515/unbenannt2oy.th.png]
(Und alle Subbrowser funktionieren vollständig!)

Sorry für Unsinn,
Bazon