Tabbed Browsing angreifbar

  • Zitat von Deg79

    Die Schwachstelle gibt es im FF 0.10.1 auch :(, eben getestet.

    Kann ich leider nur bestätigen.

    Eine "Lösung" wird aber auch gleich angeboten:

    Solution:
    Don't visit trusted web sites while visiting untrusted web sites or disable JavaScript. :?:

    Crassus

    | Windows XP Pro | Kubuntu 6.06 |

  • Zitat von Crassus

    Solution:
    Don't visit trusted web sites while visiting untrusted web sites or disable JavaScript. :?:


    Darf ich das Fragezeichen so verstehen, dass hier Erklärungsbedarf besteht?
    Man soll keine sensiblen Seiten wie z.B. Homebanking besuchen, während in einem anderen Tab noch verdächtige Seiten aktiv sind.
    Bei dem aktuellen Problem müsste man ja sogar den Link zu seiner Bank auf einer fremden Seite angeklickt haben. Das Spoofing-Verfahren gräbt keine dunklen Gänge von einem Tab zum anderen, sondern sendet einfach wenige Sekunden nach dem Klick ein Fensterchen. Ohne Javascript (oder ähnliche aktive Inhalte) geht das natürlich nicht.
    In Fx 1.0RC ist es noch nicht behoben, aber vielleicht mit 1.0 Final.

    Martin

    HalloFreun.de, Kanotix, HanseNet(AliceDSL), (X11; U; Linux i686; de-AT; rv:1.8.1.12) Gecko/20080129 (Debian-2.0.0.12-0etch1)

  • D.h. wenn man seine, z.B., Bank (sprich schützenswerte Site mit sensiblen Daten) ansurft, sollte man kein anderes Tab geöffnet haben. Na dann geht es ja, :D

    Crassus

    | Windows XP Pro | Kubuntu 6.06 |

  • War es bei euch auch so das die Citibank Seite total gesponnen hat während ihr die Testseite aufhattet? Ich konnte die Zahlen nicht sehen die ich eingetippt hatte, die standen dann dafür auf der Spionageseite.
    Also sollten einfach nur die Alarmglocken läuten wenn ihr sowas seht!

  • Diese Schwachstelle setzt aber auch auf 'Kooperation' der Person vor dem Bildschirm. Im Fall von Banken ist es mir noch nie begegnet, dass man irgendetwas vertrauliches in ein JavaScript Fenster eingeben soll.
    Als Safer-Surf Regel sollte dementsprechend einfach ergänzt werden:

    Vertrauliche Eingaben nur auf https Seiten und insbesondere nicht in Javascript Fensterchen (die imho. gut von nomalen Browserfenstern/tabs zu unterscheiden sind) :!:

    Und das man Bankseiten am besten nur über die als Lesezeichen gespeicherten Login Seiten abruft, sollte mittlerweile ja auch bekannt sein.

    dorftrottel: Nö, bei mir war die citibank Seite ganz normal...

  • Wer klickt den bitteschön auf irgendeiner Seite einen Link ein, wenn er online banking machen will?

    Ich gebe die Seite immer von Hand ein.

    Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.6) Gecko/20050225 Firefox/1.0.1- Noia extreme - TBE - Needlesearch (customized) - Prefbuttons - GMailcompose, X, Statusbar Clock, Imagetoolbar, FireFTP, downTHEMall ...

  • Zitat von BobaSchlank

    Wer klickt den bitteschön auf irgendeiner Seite einen Link ein, wenn er online banking machen will?

    Och, wenn du das geschickt einfädelst bekommst du schon genug Leute dazu!

  • Das Problem bei dieser "Sicherheitslücke" sind die "Dummies vor den PCs, die entweder ständig auf "Ja" bzw. "Okay" klicken oder ihre sensiblen Taten ins nächstbeste Feld eingeben. Und von diesen PC- und Internet-Usern gibt es, leider, mehr als genug.

    Gegen diese Problem hilft wohl nur, dass JavaScript automatisch deaktiviert wird, wenn man auf eine https-Seite geht.

  • Hallo,

    ich begreife da vermutlich was nicht, weil wenn ich mich zum Diba Hombanking anmelden will geht da ohne javascript überhaupt nix.
    Die Anmeldeseite ist nur weiss und unten links steht: Fertig
    Mit Javascript gehts dann.

    Gruss haribo

  • Dass das nur geht, wenn man per Direktlink von jener Seite auf die Seite mit dem Onlinebanking springt, stimmt so nicht. Ich hab den Test auch gemacht und den Tab offen gelassen. Was glaubt ihr wohl, was passierte, als ich hier posten wollte???

  • Zitat von Manny73

    Das Problem bei dieser "Sicherheitslücke" sind die "Dummies vor den PCs, die entweder ständig auf "Ja" bzw. "Okay" klicken oder ihre sensiblen Taten ins nächstbeste Feld eingeben.


    ....... gerade diese Leute sind von dieser Lücke nicht betroffen, weil sie ihren Rechner schon längst an anderen Lücken zerschossen haben. [Blockierte Grafik: http://www.thomas-pake.de/smilie/party.gif]

    Grüße von B. Lindemann

  • Da dieser also nun der offizielle Thread zu den Tabbrowser Sicherheitslücken ist, weitere Informationen.

    http://mozillazine.org/talkback.html?article=5404 (Versuch, das Wichtigste sinngemäss zu übersetzen):
    Diese Bugs haben geringe Priorität.
    Mozilla kann keine schnelle Behebung versprechen.
    Das Problem wurde bereits 2002-02-10 erkannt.

    Die Sache mit den im verdeckten Tab ankommenden Eingaben ist Bug 124750. Ein Gegenmittel wurde schon programmiert, aber es war nicht gut genug, um in die laufende Entwicklung aufgenommen zu werden.

    HalloFreun.de, Kanotix, HanseNet(AliceDSL), (X11; U; Linux i686; de-AT; rv:1.8.1.12) Gecko/20080129 (Debian-2.0.0.12-0etch1)

  • Zitat von Manny73

    Das Problem bei dieser "Sicherheitslücke" sind die "Dummies vor den PCs, die entweder ständig auf "Ja" bzw. "Okay" klicken oder ihre sensiblen Taten ins nächstbeste Feld eingeben.

    Ich denke nicht das der Anwender das Problem ist, wenn der Browser ein Sicherheitsproblem hat. Sind die Bremsen am PKW defekt, hilft es natürlich langsam und vorsichtig zu fahren. Besser ist es aber wohl, die Bremsen zu reparieren.

    /pencil

  • Zitat von Sebastian

    naja bremens mti diesem bug vergleichen ist ja wohl eher falsch.

    Denk ich nicht. Im Gegenteil, im PKW bemerkt man einen Fehler am veränderten Fahrverhalten hoffentlich noch rechtzeitig. Im Browser bemerkst Du schlicht gar keinen Fehler, weil Hacker Fehler ja gerade deswegen ausnutzen, um z.B. unbemerkt Infomationen zu stehlen. Und das dem Anwender auch noch anzulasten, halte ich für falsch.
    Is it a bug or a feature?

    /pencil

  • mit bremsen wuerde ich das auch nicht vergleichen, eher mit nem defekten radio im auto was immer auf den gleichen sender springt ^^

    so gravierend sehe ich diesen "bug" nicht, es ist nunmal ne javascript funktion, und man kann nicht erwarten, alle funktionen auf moegliche "hacker"angriffs/ausnutzungsmoeglichkeiten mit brief&siegel geprueft zu bekommen.

    bc