16.08.09 14:39 Uhr
 1.785
 

XSS-Sicherheitslücke - Fast jeder Internetnutzer in Gefahr

Durch eine Sicherheitslücke der heutigen Browser ist es Angreifern möglich, schädliche Skript-Codes auf Webseiten zu platzieren und somit Angriffe durchzuführen.

Die Gefahr ist bei dynamischen Seiten wie Online-Shops oder Foren, wo Eingabe oder Loginfelder gegeben sind, besonders groß. Der Angriff kann unter anderem zu Datendiebstahl oder -verlust führen.

Aus der Sicht der Administratoren kann man sich schützen, indem man zum Beispiel Filter wie htmlentities() oder htmlspecialchars() nutzt. Alternativ kann man auch Blacklist- und Whitelist-Überprüfungen anlegen.


Videoplayer auf dieser Seite ausblenden
WebReporter: Pover-Siggi-sn
Rubrik:   High Tech
Schlagworte: Internet, Sicherheit, Gefahr, Sicherheitslücke
Quelle: www.pcwelt.de

DAS KÖNNTE DICH AUCH INTERESSIEREN

Kölner Start-up macht mit Online-Übersetzer Silicon-Valley-Größen Konkurrenz
Chaos Computer Club möchte Lücken bei Software "PC-Wahl" schließen
Facebook testet Snooze-Button: Pause von nervtötenden Freunden

Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

16 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
16.08.2009 14:45 Uhr von kommentator3
 
+8 | -2
 
ANZEIGEN
boah: voll neu!

Auch ein cooles Bild!

1 * von mir.
Kommentar ansehen
16.08.2009 15:21 Uhr von cyrus2k1
 
+10 | -3
 
ANZEIGEN
Was für ein Schwachsinn: Die Quelle ist voller Fehlinformationen und unglaublich schlampig recherchiert. Die heutigen PC Zeitschriften sinken immer mehr auf BILD Niveau ab und versuchen nur noch möglichst reißerische Artikel z verfassen wie "Die illegalsten Hacker Tools" oder "Das neue Killer-Virus niemand ist sicher!" usw.
Kommentar ansehen
16.08.2009 16:10 Uhr von httpkiller
 
+7 | -1
 
ANZEIGEN
Lol super News. Das kommt weil jedes scheiß Kiddie das ein bisschen PHP scripten kann sich Webentwickler nennt. Und so natürlich preismäßig alle erfahrenen Programmierer unterbietet. Oder das andere Extrem das sich Programmierer die "offline" programmiert haben sich einfach mal ans Web wagen. Jeder der ernsthaft Web Programmierung betreiben will sollte sich mit den gängigen Lücken vertraut machen. Also selbst wissen wie man diese ausnützt. Denn nur so kann man darauf achten.

Leider haben viele die sich Programmierer schimpfen keine Ahnung was: XSS, MySQL Injection etc ist. Und gehen viel zu nachlässig mit Daten um die vom Client gesendet werden. Bei der Web Programmierung darf man nie davon ausgehen das die Daten immer so rein kommen wie man es programmiert hat.
Kommentar ansehen
16.08.2009 16:33 Uhr von NoGo
 
+2 | -5
 
ANZEIGEN
Script!
Kommentar ansehen
16.08.2009 16:39 Uhr von kommentator3
 
+2 | -7
 
ANZEIGEN
NoGo: mit noscript kannste dieses Seite hier (SN) beispielsweise gar nicht nutzen.
Kommentar ansehen
16.08.2009 16:57 Uhr von cyrus2k1
 
+6 | -2
 
ANZEIGEN
XSS ist eh überbewertet: In der Realität kommen diese Angriffe so gut wie nie vor. So gut wie alle dieser "gefährlichen Sicherheitslücken" wurden von irgendwelchen Experten gestellt und sind nur dann möglich wenn zig Bedingungen gegeben sind, wie der User hat diese, diese, und diese Seite gleichzeitig offen und bestätigt noch irgendwelche Dialoge und Sicherheitsanfragen. Dies ist alles übertriebene Hysterie. 99% aller Viren holen sich User eh über irgendwelche komischen Downloads und verseuchte Cracks oder über uralte Browser wie den IE6 mit seinen ActiveX Löchern.
Kommentar ansehen
16.08.2009 17:24 Uhr von xarrow
 
+4 | -2
 
ANZEIGEN
komisch: hab noskript und nutze die seite
Kommentar ansehen
16.08.2009 17:30 Uhr von kommentator3
 
+2 | -6
 
ANZEIGEN
@xarrow: kann nicht stimmen
Kommentar ansehen
16.08.2009 18:32 Uhr von KZE
 
+2 | -2
 
ANZEIGEN
Experten? Die Tatsache, dass man hier mit NoScript u.A. keine Kommentare abgeben kann, ohne "shortnews.de" in die Whitelist aufzunehmen, ist kein Problem von NoScript, sondern haargenau dessen Sinn und Zweck. Das Shortnews nicht ohne Javascript auskommt, ist wenn dann ein Nachteil - bzw. schlechtes Design - der Seite, aber nicht von NoScript.

(Dieser Kommentar wurde mit NoScript erstellt, geht durchaus).
Kommentar ansehen
16.08.2009 19:14 Uhr von StYxXx
 
+0 | -0
 
ANZEIGEN
Nunja: Wer als Admin, oder eher Webentwickler, einfach die eingehenden Daten ohne vorherige Prüfung (oder Absicherung mit den genannten Befehlen wie htmlspecialchars) nutzt, ist selbst schuld. Es gibt mit Grund die Regel, alles was von außen kommt erstmal als böse zu betrachten. Trotzdem sieht man immer wieder Anwendungen, bei denen hochbezahlte "Profis" übergebene Parameter 1:1 für Datenbankabfragen oder ähnliches nutzen. Die Auftraggeber kennen sich halt auch nicht so aus und sind zufrieden, wenn es optisch gut aussieht.
Kommentar ansehen
16.08.2009 19:34 Uhr von kommentator3
 
+4 | -0
 
ANZEIGEN
@KZE: Dein Kommentar war nur mit Hilfe von Javascript möglich (das du durch Eintrag in die Whitelist aktiviert hast)
Kommentar ansehen
16.08.2009 20:32 Uhr von phal0r
 
+1 | -0
 
ANZEIGEN
wo is das bitte ein sicherheitslücke?!

es geht darum das man <script> tags in die serverdaten einschleust und dann eigenes javascript ausführen kann.

Wenn überhaupt liegt es an schlecht implementierter Serversoftware, die html-spezifische Zeischen nicht filtert. Nichts neues und sollte auch auf keinen größeren Seiten zu finden sein.

@alle noscript leute
finde die Idee echt gut mit einer Whitelist. Man kann bei seinen bekannten Seiten, die Vorteile von dynamischen Seiten nutzen und läuft nicht die Gefahr bei unbekannten Seiten.
Kommentar ansehen
16.08.2009 20:59 Uhr von ThomasHambrecht
 
+1 | -1
 
ANZEIGEN
Man ist das ein Fachchinesisch was muss ich denn jetzt reel tun um meinen Windows-Internet-Explorer 1.0 sicherer zu machen, den ich mir unter Windows 3.1 installiert habe?
Kommentar ansehen
16.08.2009 21:52 Uhr von httpkiller
 
+3 | -0
 
ANZEIGEN
@cyrus2k1: Glaub mir diese Lücken sind praktisch sehr gut nutzbar. weis ich aus eigener Erfahrung ;)
Da muss man gar nichts bestätigen ;)

@StYxXx
Ja so sieht es leider ind er Praxis aus das es da viel Inkompetenz gibt.
Kommentar ansehen
16.08.2009 23:44 Uhr von cyrus2k1
 
+0 | -0
 
ANZEIGEN
@httpkiller: Dann zeig mir mal so eine XSS Lücke in der Praxis. Habe ich noch nie gesehen...?
Kommentar ansehen
17.08.2009 00:16 Uhr von KZE
 
+0 | -0
 
ANZEIGEN
@kommentator3: Danke, für den hilfreichen Hinweis, war mir gar nicht klar das die Kommentarfunktion von shortnews Javascript vorraussetzt...

Inwiefern hat das nun mit deiner Behauptung zu tun, man könne shortnews mit NoScript gar nicht benutzen?

Refresh |<-- <-   1-16/16   -> -->|
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben


Copyright ©1999-2017 ShortNews GmbH & Co. KG

Die News auf dieser Website werden eigenverantwortlich von Nutzern erstellt. Die Shortnews GmbH & Co. KG nimmt keinen redaktionellen Einfluss auf die Inhalte.

impressum | agb | archiv | usenet | zur mobilen Ansicht
SCHLIESSEN

Willst Du die Seite wirklich verlassen?


DAS KÖNNTE DICH AUCH INTERESSIEREN

Atomkonflikt: USA und Europa mit weiteren Sanktionen gegen Nordkorea
Polen: Wildtier schürt "Hass auf Deutschland"
airberlin: Prämienmeilen können wieder eingelöst werden


...oder unseren und keine aktuellen News mehr verpassen?