Tabbed Browsing angreifbar

  • Zitat von bc

    ... und man kann nicht erwarten, alle funktionen auf moegliche "hacker"angriffs/ausnutzungsmoeglichkeiten mit brief&siegel geprueft zu bekommen.

    Habe ich auch nicht gefordert. Ich finde es schlicht nicht korrekt, den Fehler eines Programms ausgerechnet dem Anwender anzulasten und ihn auch noch mit

    Zitat von Manny73

    Dummies vor den PCs, die entweder ständig auf "Ja" bzw. "Okay" klicken oder ihre sensiblen Taten ins nächstbeste Feld eingeben.

    abzuqualifizieren.

    /pencil

  • so ist es aber das dieser bug eher auf diese leute anfälliger ist als solche die vorher nochmla nachgucken was die gerade machen.

    ich meine der gesunde menschen verstand sagt doch das man gesicherte seiten mit vorsicht genißen sollte.

    nicht ohne grund öffnet sich bei der sparkasse das ob immer in einem neuen fenster.

  • Zitat von Sebastian

    so ist es aber das dieser bug eher auf diese leute anfälliger ist als solche die vorher nochmla nachgucken was die gerade machen.

    ich meine der gesunde menschen verstand sagt doch das man gesicherte seiten mit vorsicht genißen sollte.

    nicht ohne grund öffnet sich bei der sparkasse das ob immer in einem neuen fenster.

    Naja, wenn ich meiner Oma vorher noch Englisch beibringen muss, damit sie weiss was mit einem "Bug" oder "https" im Gegensatz zu "http" gemeint ist und das sie Javascript bei bestimmten Seiten abschalten soll, andere Seiten dann aber nicht mehr funktionieren und sie Javascript deswegen wieder anschalten muss, das es aber sein kann, dass es trotzdem noch unerkannte Restrisiken gibt - was wird dann wohl der "gesunde Menschenverstand" meiner Oma sagen? Sch... aufs Internet und geh wieder zu Fuss zur Sparkasse?

    Weswegen nutzen wir denn den FF? Weil er schöner oder weil er sicherer als IE ist?

    Natürlich weiss ich, dass es keine absolute Sicherheit gibt, aber wir sollten dran arbeiten und den Anwendern nicht Dummheit vorwerfen, wenn die Software buggy ist.

    /pencil

  • wer sagt das du javascript dafür deaktivieren musst?

    einfach ein neues fenster öffnen und fertig.

    und deiner ome müsstest du nur sagen beim online banking auf ein extra fenster mit einem gelben balken oben achten. das kriegen selbst noch die älteren leute hin 8)

  • wahrscheinlich wiederhole ich jetzt bereits geschriebenes und man möge mir verzeihen:
    aber es ist wirklich so - man muss nicht auf den link zur city-bank seite klicken - das java-fenster öffnet sich auch so. außerdem geht es auch beim ie, wenn man den link in einem neuen fenster öffnet.

    gruß,

    el burro

  • Ich verstehe das nicht ganz. Das Problem tritt also auch bei anderen Browsern auf, sogar beim IE, der noch auf dem Stand vor dem Urknall ist? Dann sollte man vielleicht mal am JS schrauben...

    Okay, wenn das für meine Oma nicht zumutbar ist, im Internet ein bissl gesundes Misstrauen zu zeigen und Textfelder, die alles wegschlucken, als suspekt einzustufen, dann sollte sie wohl wirklich zu Fuß zur Kreissparkasse schlabben. Aber dann sollte sie auch so konsequent sein und den Geldautomaten meiden, denn da hat auch schon so mancher Gauner dran rummanipuliert.

    Übrigens kann man nach amerikanischer Rechtssprechung den Hersteller eines Mikrowellengeräts durchaus für das vorzeitige Ableben eines Hundes verantwortlich machen, wenn er die Besitzerin nicht ausdrücklich darauf hingewiesen hat, dass das Gerät zum Trocknen von Haustieren nicht geeignet ist. ;)

  • Zitat von Sebastian

    wer sagt das du javascript dafür deaktivieren musst?


    Ich nicht. Einige Forenuser haben JS in Verdacht, aber das ganze ist eh nur als Beispiel gedacht.

    Zitat von Sebastian

    einfach ein neues fenster öffnen und fertig.


    Zitat von http://www.firefox-browser.de/ : "Auch das "Tabbed-Browsing", mit dem man mehrere Seiten in einem Fenster darstellen kann, möchte man bereits nach kurzer Zeit nicht mehr missen."
    Und wer gibt mir eine Liste der Seiten, bei denen ich neue Fenster öffnen soll/muss, um sicher zu surfen? Und ist die vollständig , oder besteht doch noch ein Restrisiko? Sollte man also aus Sicherheitsgründen generell auf Tabbed-Browsing verzichten?

    Zitat von Sebastian

    und deiner ome müsstest du nur sagen beim online banking auf ein extra fenster mit einem gelben balken oben achten. das kriegen selbst noch die älteren leute hin 8)


    Ja, das kriegt sie hin. Aber was ist, wenn neue Bugs im http-Protokoll auftauchen? Wieder umdenken? Ich denke das Online-Banking eine der wesentlichen Funktionen ist und dementsprechend sicher gemacht werden muss.

    Aber zur Klarstellung: mir geht's nicht so sehr um das Beispiel, denn Vergleiche hinken immer.
    Man sollte nur den Anwendern nicht Dummheit vorwerfen, wenn die Software buggy ist.

    /pencil

  • Zitat von pencil


    Ich nicht. Einige Forenuser haben JS in Verdacht, aber das ganze ist eh nur als Beispiel gedacht.

    es ist zwar richtig das ein js problöem ist. der abe rnur bei einem tab browsing auftritt.


    Zitat


    Zitat von http://www.firefox-browser.de/ : "Auch das "Tabbed-Browsing", mit dem man mehrere Seiten in einem Fenster darstellen kann, möchte man bereits nach kurzer Zeit nicht mehr missen."
    Und wer gibt mir eine Liste der Seiten, bei denen ich neue Fenster öffnen soll/muss, um sicher zu surfen? Und ist die vollständig , oder besteht doch noch ein Restrisiko? Sollte man also aus Sicherheitsgründen generell auf Tabbed-Browsing verzichten?

    das musst du selbst entscheiden. ich öffne generell alle https seiten in einem extra fenster.


    Zitat

    Aber zur Klarstellung: mir geht's nicht so sehr um das Beispiel, denn Vergleiche hinken immer.
    Man sollte nur den Anwendern nicht Dummheit vorwerfen, wenn die Software buggy ist.

    es ist zwar richtig das man denen nicht dummheit vorwerfen kann. nur etwas schuld hat der anwender dann auch.

    ist doch genauso wie beim ie die dialer. der anwender trägt auch die schuld wenn sich so ein ding installiert. wenn er vorher 3 mal OK eingetippt hat.

    es ist so ähnlich wie der bug den heise als bug bezeichnet das man auch xpi dateien zu einem dialer oder ähnliches machen kann. nur wer da auf installieren klickt hat meines erachtens auch selbst schuld.

  • Neulich habens hier - ist noch gar nicht so lange her - Geldautomaten präpariert. Kamera, Spiegel und all sowas. Ergebnis - zig Bankkunden wurden erleichtert.

    Nun kann ich hergehen und sagen: Die Bank ist schuld. Da rennt sowieso eine Wachgesellschaft herum, die kann ja auch gucken, ob was fremdes installiert wurde über das Wochenende.

    Ich kann aber auch von einer alten Frau verlangen - wie es die Bank tat - immer gucke und außergewöhnliches sofort melden...

    Die NormalUser wissen in den wenigsten Fällen über diesen Bug Bescheid, wie man diesem begegnen kann. Die Banken erzählen es einem nicht oder in den wenigsten Fällen nur. Es liegt auf der Hand, wenn das TabBrowsing angeboten wird, man auch gerne davon gebauch macht. Wie man allerdings Leute sensiblisiert, um die hier dargebrachten Tips zu beherzigen, die den Bug umgehen, weiß ich auch nicht.

    Das Internet ist doch so schön bunt... klich... klick... klick... ;)

    Tóg go bog é

  • Zitat von Sebastian

    wer sagt das du javascript dafür deaktivieren musst?

    Weiter vorne in diesem Thread wurde der Ratschlag von Secunia erwähnt:

    Zitat

    Solution:
    Don't visit trusted web sites while visiting untrusted web sites or disable JavaScript.

    Zitat von el burro

    das java-fenster öffnet sich auch so

    Nicht Java, JavaScript! Als ich den Test vor einigen Tagen zum ersten Mal durchführte, kam das Fensterchen auch ohne Klick auf den Link zur Citybank. Heute kommt es erst nach dem Klick :roll:
    edit:

    Code
    onmouseover="setTimeout('launchTimedPrompt()

    Man muss den Link nur mit dem Mauszeiger berühren.

    Zitat von el burro

    außerdem geht es auch beim ie, wenn man den link in einem neuen fenster öffnet.

    Ich hab's ausprobiert: Es kam kein Fensterchen, weder vor der Bankseite noch im Hintergrund. Wie hast du das hinbekommen?
    edit: Ich muss natürlich für secunia JavaScript erlauben :oops: Das Fensterchen kommt dann, aber nur im Hintergrund. Und das wird ja nicht als so gefährlich angesehen.

    Martin

    HalloFreun.de, Kanotix, HanseNet(AliceDSL), (X11; U; Linux i686; de-AT; rv:1.8.1.12) Gecko/20080129 (Debian-2.0.0.12-0etch1)

  • wie sollte man sich nun verhalten?

    einfach vertauliche seiten immer in einem neuen fenster öffnen, oder muss man zusätzlich den javascript deaktivieren? und was ist nun zwischen "https" und "http"?

  • Zitat von Al

    wie sollte man sich nun verhalten?

    einfach vertauliche seiten immer in einem neuen fenster öffnen, oder muss man zusätzlich den javascript deaktivieren? und was ist nun zwischen "https" und "http"?

    Vertrauliche Seiten solltest du grundsätzlich nur aus den Bookmarks aufrufen oder sogar die URL manuell eingeben.

    Jeder diese "Exploits" funktioniert sowieso nur wenn Javaskript angeschaltet ist, und man die Seite über einen Link auf der "bösen" Seite aufruft. :roll:

    Es scheint mir ausserdem hier einige Mißverständnisse zu geben wie das ganze eigentlich funktioniert.
    Es gibt keine Verbindung zwischen den Seiten. Ein Javaskript aktiviert sich zeitverzögert und klaut dem anderen Tab den Fokus (hat bei meinen Tests nie funktioniert) bzw. blendet ein Eingabefeld ein.
    Der Rest beruht einfach auf der Annahme, daß ein neues Tab im Vordergrund geöffnet wird. Ist das nicht der Fall, dann ist die ganze Sache für die Katz und die böse Seite kriegt garnichts.

  • Zitat von Sebastian


    es ist zwar richtig das man denen nicht dummheit vorwerfen kann. nur etwas schuld hat der anwender dann auch.

    ist doch genauso wie beim ie die dialer. der anwender trägt auch die schuld wenn sich so ein ding installiert. wenn er vorher 3 mal OK eingetippt hat.

    es ist so ähnlich wie der bug den heise als bug bezeichnet das man auch xpi dateien zu einem dialer oder ähnliches machen kann. nur wer da auf installieren klickt hat meines erachtens auch selbst schuld.

    Es sind schon Dialer augetaucht die sich selbst (per JS?) das OK geben. Hat dann der Anwender auch "etwas Schuld"? Schliesslich hat er ja die entsprechende Site angesurft.

    Zu den .xpi: wenn man einzig und allein von mozilla.update Extensions und Themes bezieht, gibt's bis dato noch keine Probleme.
    Aber schau Dich mal hier im Forum um, wieviele "gute" Tipps auf Extensions verweisen, die gepatcht, repacked oder sonstwie angepasst wurden, damit sie auf einer speziellen Version des FF auch funzen. Wie soll ein Anwender hier Gut und Böse unterscheiden? Das mag alles in gutem Glauben gepostet werden, aber bei weiter steigender Beliebtheit des FF hat das fatale Folgen. Nicht umsonst soll mozilla.update die einzige zentrale Instanz für Updates/Anpassungen jeder Art sein. Alles andere führt ins Chaos. Schau Dir nur mal den Wahnsinn bei jeder neuen englischen Version des FF an, wenn zig Postings "endlich" die deutsche Fassung fordern. Mit ein wenig Geduld erledigen sich die meisten "Probleme" fast von selbst. Und so lange sollten die alten Hasen gerade die Newbies nur auf offizielle Wege führen. Auch wenns ein wenig dauern kann.

    Ein pauschales "selber Schuld" hilft aber garantiert niemandem weiter.

    /pencil

  • Hallo,

    pencil schreibt:

    Zitat

    Ein pauschales "selber Schuld" hilft aber garantiert niemandem weiter.

    Recht hat er.

    Jetzt noch eine Frage:

    Habe ich es richtig verstanden, dass es besser ist "https-Seiten" aus Sicherheitsgründen nicht mit "Tabbed Browsing" aufzurufen, sondern in einem eigenen Fenster?

    Noch eine Bemerkung zur Benutzung von Java-Script: Leider bleibt einem auf manchen Seiten (z.B. http://www.boersenpunkt.de) nichts anderes übrig, als Java-Script zu aktivieren, da sonst der akt. Indexstand auf der linken Seite nicht angezeigt wird. Das ist halt nunmal der einfachste Weg die Indexstände zu sehen.

    Gruß
    robert1

  • Zitat von Crassus

    D.h. wenn man seine, z.B., Bank (sprich schützenswerte Site mit sensiblen Daten) ansurft, sollte man kein anderes Tab geöffnet haben. Na dann geht es ja, :D

    Crassus

    Und diese Info ist gesichert ? Ich habe auch Online-Banking, und möchte mich daher kundig machen.
    Also nur die "Bank" öffnen und nichts anderes ?? :roll:

    Firefox 133.0 + Win 11 Pro - ;):thumbup:

  • Zitat von pencil

    Und so lange sollten die alten Hasen gerade die Newbies nur auf offizielle Wege führen. Auch wenns ein wenig dauern kann.


    Mit dem kleinen Problem, dass es auf den offiziellen Seiten (noch) keine lokalisierten versionen gibt und (sehr) viele erweiterungen überhaupt nicht bei update.moz.org gelistet sind.

  • Zitat von bugcatcher


    Mit dem kleinen Problem, dass es auf den offiziellen Seiten (noch) keine lokalisierten versionen gibt und (sehr) viele erweiterungen überhaupt nicht bei update.moz.org gelistet sind.

    Mit den lokalisierten Versionen hast du natürlich Recht. Vielleicht muss man über ein mozilla.update.de nachdenken.
    Das es viele Erweiterungen offiziell (noch) überhaupt nicht gibt, hat ja vielleicht einen guten Grund...

    /pencil

  • Zitat von Spölle


    Und diese Info ist gesichert ? Ich habe auch Online-Banking, und möchte mich daher kundig machen.
    Also nur die "Bank" öffnen und nichts anderes ?? :roll:


    Was man tun muss, um 100%ig sicher online-Banking zu betreiben, weiß ich natürlich nicht, schließlich kenne ich nicht die Sicherheitslücken, die vielleicht in der Zukunft noch gefunden werden.

    Um in die aktuelle Falle zu tappen, die zu diesem Thread geführt hat, muss man folgendes tun:
    1. Den Link zur Bank in einer unbekannten Seite anklicken
    2. Für die Bank einen neuen Tab im selben Fenster benutzen
    3a. Vertrauliche Daten anstatt auf der Bankseite in ein plötzlich erscheinendes Fensterchen eintragen - oder
    3b. Vertrauliche Daten weitertippen, obwohl sie auf der Bankseite gar nicht ankommen.
    4. Javascript aktiviert haben (allerdings funktionieren wohl sonst auch die Bankseiten nicht)

    Wenn man nur einen dieser Punkte weglässt, passiert nichts.

  • Ist noch ein Config-Problem, weil das Forum ja nagelneu ist.
    Das wird bald geändert denke ich.


    ..and some might argue that the earth is flat
    ..and some might argue that smoking is not harmful
    ..and some might argue that even Windows XP has become stable