Hi! Diesen Artikel habe ich gerade bei Heise.de gefunden:
21.10.2004 00:37
Spionagegefahr durch Tabbed-Browsing
Die Sicherheitsfirma Secunia[1] warnt in einem Advisory vor Gefahren,
wenn Browser mehrere Seiten in einem Fenster darstellen, was oft als
Tabbed-Browsing bezeichnet wird. Das Grundproblem dabei ist, dass auch
verdeckte Seiten Skriptbefehle ausführen können, der Anwender jedoch
denkt, er interagiere mit der im Vordergrund dargestellten Seite. So
landen unter Umständen Eingaben mit Passwörtern oder anderen wichtigen
Daten auf dem falschen Server.Secunia demonstriert das Problem mit zwei Szenarien. In einem[2] öffnet
der Anwender
eine Seite der Citibank in einem neuen Tab. Dann öffnet sich eine
Dialogbox, die Informationen abfragt. Dieses Dialogfenster erscheint
unter Umständen vor der Citibank-Seite, wird aber von der
ursprünglichen Demo-Seite gesteuert. Diese erhält folglich auch alle
Eingaben des Anwenders.Bei der zweiten Demo[3] setzt ein im Hintergrund regelmäßig
ausgeführter JavaScript-Befehl den Fokus auf ein Eingabeformular der
Demo-Seite. Wenn der Anwender eine neue Seite in einem neuen Tab öffnet
und versucht, dort etwas einzugeben, landet es somit immer im
Eingabeformular der versteckten, aber immer noch aktiven Demo-Seite.Obwohl teilweise anders berichtet, ist es nicht unbedingt erforderlich,
dass der Anwender wie bei den Secunia-Demos die auszuspionierende Seite
von der bösen aus öffnet, indem er dort auf einen Link klickt.
Voraussetzung ist lediglich, dass beide Seiten im selben Fenster als
Tabs dargestellt werden.Betroffen sind alle Browser, die Tabbed-Browsing unterstützen, also
unter anderem Mozilla, Opera, Konqueror und Safari. Microsofts Internet
Explorer kennt keine Tabs, wer jedoch Erweiterungen wie Avant oder
Maxthon (früher MyIE2) einsetzt, ist ebenfalls anfällig. Laut Secunia
hat Opera versprochen, das Problem in Release 7.60 zu beseitigen. Das
Abschalten von JavaScript macht diese Art von Missbrauch zwar
unmöglich, bedeutet allerdings auch, dass viele Seiten nicht mehr
funktionieren. Um diese unerwünschte Interaktionen zwischen Seiten
auszuschließen, genügt es jedoch, Seiten, die die Eingabe von wichtigen
Daten erfordern, immer in einem eigenen Fenster -- oder noch besser in
einer frischen Browser-Instanz zu öffnen.Siehe dazu auch:
Security Advisory[4] von Secunia
(ju[5]/c't)
URL dieses Artikels:
http://www.heise.de/security/news/meldung/52365Links in diesem Artikel:
[1] http://secunia.com/
[2] http://secunia.com/multiple_brows…_spoofing_test/
[3] http://secunia.com/multiple_browsers_form_field_focus_test/
[4] http://lists.netsys.com/pipermail/full…ber/027800.html
[5] mailto:ju@ct.heise.de------------------------------------------------------------------------
Copyright 2004 Heise Zeitschriften Verlag
Kann das wirklich so gefährlich werden?