Sicherheits-Hinweis: JavaScript

http://www.heise.de/newsticker/meldung/45054

Ich habe generell Java und JavaScript deaktiviert! Ihre Scripte können die woanders abladen, aber nicht bei mir!

2 - 3 Seiten dürfen bei mir aber trotzdem ihren JavaScript-Kram abladen ...

Zitat von bugcatcher

Es gab bisher nur in der 0.9.7er (erschinen am 21.12.01, bis Mozilla 1.0 RC2, erschinen am 18.4.02) version vom Mozilla einen sicherheitsrelevanten Bug.

Soweit ich mich erinnere, gab es in der 1.2 Version auch eine JS-Lücke, die wurde aber schnell durch die Version 1.2.1 gefixt.

Die bei Heise genannte Lücke ist relativ harmlos. Um die Lücke auszunutzen, musst du erst auf eine Seite surfen die, die Lücke ausnutzen möchte und dann über "Datei | Datei öffnen" eine lokale Seite öffnen (Mit einem Link geht das nicht, da der Firefox Links zu lokalen Dateien über das Internet blockt). In der Zeit bis diese lokale Seite geladen ist, kann die versuchte Internet-Seite JavaScript-Code mit lokalen Rechten auf deinem Computer ausführen. Wenn du jetzt also auf einer lokalen Seite ein Passwort eingibst, kann es ausspioniert werden. Aber wann gibt man schonmal auf einer lokalen Seite ein Passwort ein und beachte bitte: Das kann dann auch nur ausgelesen werden, wenn du das Passwort tippst und abschickst, bevor die lokale Seite vollständig geladen ist. Danach ändern sich die Rechte nämlich wieder. Aber für die aktuelle Firefox-Version ist das ohnehin unerheblich.

Gruß
Abdulkadir Topal

PS: Übrigens dürfte Java noch um einiges sicherer sein. Jedefalls habe ich noch von keiner Sicherheitslücke in Zusammenhang mit Java gehört. Das dürfte auch daran liegen, dass das Java-Programm in eine Sandbox gesperrt wird und überhaupt keinen Zugriff auf die Systemressourcen hat. Solange also kein Fehler in der Java-Virtual-Mashine auftaucht, ist Java relativ sicher.

Erstmal "Hallo" an alle (hab mich heute neu registriert...)

Es stimmt nicht, daß der auf Heise beschriebene Bug bei Firefox nicht geht! Das funktioniert sehr wohl. Einfach mal mit aktiviertem Java Script den im Artikel genannten link klicken, und schauen was passiert...:shock:

http://www.heise.de/security/artikel/38658/1 (unten bei XSS-Demo)

(Jedenfalls geht es in meiner Version (Firefox 0.8, 20040210).)

Ich finde es von daher reichlich blauäugig, sich auf eine Software, und sei es, sie heißt Firefox, blind zu verlassen...JavaScript ist durchaus ein potentielles Risiko, hat somit nix mit Vorurteilen zu tun, und Firefox ist auch nicht immun gegen sowas...

Am sichersten und komfortabelsten ist es imo, sich die Prefbuttons runterzuladen und Javascript bei Bedarf mit einem Mausklick an und auszuschalten...

Zitat von bugcatcher

Jo. Hab ich auch eben gelesen. Momentan hab ich ein gutes händchen für die falsche Zeit. Gestern kurz vor dem release der neuen Adblock-Version die alte übersetzt, und heute das mit dem.

Immerhin: In Mozilla 1.6 (Was Firefox entspricht) ist der Fehler nicht mehr enthalten.

Welche neue Adblock Version ? Auf der Seite finde ich noch immer die 0.5 d2 nightly build 35 Oder ist das die neue ?

Zitat von Bang

Erstmal "Hallo" an alle (hab mich heute neu registriert...)

Es stimmt nicht, daß der auf Heise beschriebene Bug bei Firefox nicht geht! Das funktioniert sehr wohl. Einfach mal mit aktiviertem Java Script den im Artikel genannten link klicken, und schauen was passiert...:shock:

http://www.heise.de/security/artikel/38658/1 (unten bei XSS-Demo)

(Jedenfalls geht es in meiner Version (Firefox 0.8, 20040210).)

Tja, du hast dir zwar die Zeit genommen, dich hier anzumelden, aber vielleicht hättest du dir eher Zeit nehmen sollen, die Heise-Seite zu lesen. Denn direkt vor dem Link auf der Seite steht:

Zitat

Folgender Link demonstriert eine XSS-Schwäche der Suchmaschine Overture

Da du lesen kannst, erspar ich mir weitere Worte.

Gruß
Abdulkadir Topal

A.Topal

Ja, ich kann lesen und schreiben kann ich auch...:)

Ich bin kein PC-Experte, aber wenn ich richtig gelesen habe, steht hier doch auch:

"Zusätzlich weiß der Angreifer, dass dieser Server eine XSS-Schwäche hat. Klickt das Opfer den Link an, wird es zu der Seite geleitet und das JavaScript wird ohne Rückfrage im Browser ausgeführt."

Server mit XSS-Schwäche (im Beispiel also ouverture) und Browser, der das Script ohne Rückfrage ausführt = Firefox.

Natürlich kann Firefox nix für die geannte Schwäche einiger Websites, wie ouverture, das ist mir schon klar, Fakt ist aber das er deren Skripte als sicher einstuft und ohne Rückfrage ausführt. Oder bin ich nur zu blöd, das zu kapieren, könnt ja auch sein...

Gruß,
Bang

Nein, das stimmt so nicht. Die Lücke im Firefox bezieht sich nur auf die Dauer des Wechsels von einer Internet- auf eine lokale Seite. Der Fehler in der Overture-Seite hat in keiner Weise etwas damit zu tun. Abgesehen davon wird kein Browser anders auf die Overture-Seite reagieren, weil das ein semantischer und kein syntaktischer Fehler der Seite ist, um es mal in der Compilersprache zu sagen. Die Übergabe von Daten über die URL ist nämlich in Umgebungen, in denen die Datensicherheit keine Rolle spielt äußerst praktisch.

Gruß
Abdulkadir Topal

A.Topal

Hi,

hab jetzt mal versucht, das in Ruhe nachzuvollziehen. Es gab bei Heise wohl auch noch ein paar links, wo die Thematik etwas ausführlicher behandelt wird...(kann auch englisch lesen! :wink: )

Hast wohl recht.

Trotzdem bin ich lieber vorsichtig, und schalte Java bzw. Java Script nur bei Bedarf zu.

Gruß,
Bang

Zitat von Bang

Trotzdem bin ich lieber vorsichtig, und schalte Java bzw. Java Script nur bei Bedarf zu.

Das ist deine Entscheidung, und der Firefox macht sie dir sehr einfach. Es gibt etliche Erweiterungen, die ein Symbol in die Navigationsleiste einfügen, mit dem du JavaScript mit einem Mausklick ein- und ausschalten kannst.

Gruß
Abdulkadir Topal

Zum Beispiel die PreferencesToolbar, ein absoluter Hit!

PrefButtons, nicht zu vergessen...:)

Finde die PreferencesToolbar nirgendwo. Hast Du einen Link ?