Lesen lokaler Dateien über I-Frame möglich?

  • Hallo,

    ich habe soeben den Heise-Bericht gelesen und im Bezug auf die Aussage

    Zitat

    [...] Nun kann die HTML-Datei eine lokale Datei in einen IFrame einbetten und über JavaScript an einen externen Server übertragen ...

    etwas verunsichert. Inwieweit lässt sich diese "Funktion" im negativen Sinne ausreizen? Kann man damit rechnen, dass kurzfristig ein Update erscheinen wird?

    Hier noch der Link zum Bericht bei Heise: Mozilla & Co: Webseiten lesen lokale Dateien
    http://www.heise.de/newsticker/meldung/53964

    Danke und Gruß
    Tati

  • Code
    Er ist sich auch selbst nicht sicher, ob es sich tatsächlich um ein Sicherheitsproblem handelt: Schließlich können externe Webseiten nicht direkt auf lokale Dateien zugreifen, sondern müssen den Umweg über eine lokale Zwischenstation nehmen; dem Browser ist dabei eigentlich nichts vorzuwerfen, er verhält sich genau wie vorgesehen.

    Du musst dem Download schon zustimmen, also ist jeder selbst verantwortlich.

  • Zitat von erna4711

    Du musst dem Download schon zustimmen, also ist jeder selbst verantwortlich.


    Hallo,

    auch dabei?

    Zitat

    Nun kann die HTML-Datei eine lokale Datei in einen IFrame einbetten und über JavaScript an einen externen Server übertragen


    Gruß Tati

  • Jo, der kleine Fuchs macht Spass. :D

    Zitat

    Um diese Sperre zu umgehen, kann ein Web-Server eine Datei mit einem unbekannten Dateityp versehen. Wählt der Anwender im Dialog "Öffnen" mit dem Browser, wird die Datei lokal zwischengespeichert und dann mit den lokalen Rechten geöffnet. Antwortet der Anwender "Speichern" und öffnet die Datei später, gilt natürlich dasselbe.

    Ohne den Benutzer passiert da nichts und ohne Benutzer wäre es natürlich sicherer. :lol:
    Ich denke jetzt beginnt langsam die Suche nach Fehler und "Löchern" beim Fuchs.

  • auch nach längeren "drüber nach denken" kann ich kein fox- problem erkennen. das Delvecchio diese möglichkeit entdeckt hat ist super, aber wie er selbst feststellt: "... Er ist sich auch selbst nicht sicher, ob es sich tatsächlich um ein Sicherheitsproblem handelt: Schließlich können externe Webseiten nicht direkt auf lokale Dateien zugreifen, sondern müssen den Umweg über eine lokale Zwischenstation nehmen; dem Browser ist dabei eigentlich nichts vorzuwerfen, er verhält sich genau wie vorgesehen..." mal die augen und ohren offen halten, was sich aus dieser möglichkeit noch entwickeln läßt - kann durchaus noch interessant werden.

    lg, ferkeldieb

    Firefox/2.0.0.5, WinXP prof SP2

    "information is not knowledge. knowledge is not wisdom. wisdom is not truth. truth is not beauty. beauty is not love. love is not music. Music is THE BEST..." FZ

  • Gott ist das ein Schwachsinn. Man muss die datei schon erstens auf seinem eigenen Rechner herunterladen, sonst hätte man ja keine lokalen rechte und dann müsste man die seite noch so bauen, dass sie den inhalt dieser datei an einen server schickt. was man mit javascript (location.href) sogar machen könnte... aber das ist doch kein sicherheitsloch, wenn man aktiv selber sich seiten auf den rechner holt und ausführt. Seltsame Definition von "Sicherheitsproblem"... ein Sicherheitsloch wäre es, wenn der Benutzer nicht daran nicht aktive beteiligt wäre. naja... wenns schön macht... *kopfschüttel*

  • hehe ja... bei internet explorer wäre sowas ja langweilig, aber bei firefox... oho eine downgeloadete exe richtet schaden an ohohohoho....

    Naja, mein Vorschlag wäre, dass Internetseiten die Lokal sind nur nach Abfrage was ins Internet senden können, bzw. ins internet verlinken, wenn ein GET gefunden wird (oder sonstwas eben). Eine normaler Link sollte dagegen auch aufrufbar sein ohne bestätigung. Damit wäre das Problem wohl gegessen....

  • Zitat von DeckMan

    Ist eigentlich http://hijackthis.de/ auch eine Sicherheitslücke? Dort kann man eine lokale Textdatei angeben, die dann ausgelesen (und ausgewertet) wird.


    Ein Datei-Upload wird ja vom User selbst initiiert: er muss die Datei angeben und einen Absenden-Button anklicken. Deshalb meiner Meinung nach nicht, da ansonsten selbst ein Texteingabefeld eine Sicherheitslücke wäre, weil man ja ein Passwort eintippen könnte. :wink:

  • Zitat von Dr. Evil


    Wenn jemand weiß, dass und wo es eine Datei gibt, ist es schon zu spät.


    Dass muss man aber auch wissen, um die andere Sicherheitslücke auszunutzen :)