XSS und Paypal

    Hallo,

    Ich arbeite mit einem aktuellen Firefox mit aktuellem NoScript unter MacOSX.

    Soeben, wollte ich was über paypal zahlen und bekam die Meldung, dass NoScript einen möglichen XSS-Versuch geblockt hat.

    Kann ich bei XSS genauso vorgehen wie bei normalen Java Script (also dass ich Seiten erlaube, die ich für vertrauenswürdig halte, wie das bei Paypal der Fall ist) oder mus man da etwas anderst denken, etwa das die Gefahr gar nicht vom offiziellen Seitenbetreiber kommt sondern evtl. von einem dazwischen geschalteten hacker?

    Für eine kurze Aufklärung wäre ich dankbar!

    Julius

    PS: Bei web.de bekomme ich gelegentlich auch solche Meldungen

    Zitat von Fantin

    Kann ich bei XSS genauso vorgehen wie bei normalen Java Script (also dass ich Seiten erlaube, die ich für vertrauenswürdig halte, wie das bei Paypal der Fall ist) oder mus man da etwas anderst denken, etwa das die Gefahr gar nicht vom offiziellen Seitenbetreiber kommt sondern evtl. von einem dazwischen geschalteten hacker?

    Wenn du einer Domain über NoScript das Recht einräumst JS auszuführen, dann vertraust du erstmal grundsätzlich dem regulären Inhalt des Webangebots. Findet sich innerhalb dessen nun eine XSS-Schwachstelle, so kann ein Angreifer potentiell dort eigenen Script-Code einschleusen. NoScript kann dann u.U. nicht mehr zwischen dem regulären Code und dem Code des Angreifers unterscheiden. Beides wird ausgeführt. Daher hat deine Entscheidung bzgl. JS auch Auswirkungen im Bereich XSS, die beiden Bereiche hängen in der Hinsicht zusammen.
    NoScript selbst bieten nun ein paar Schutzmechanismen gegen gewisse Formen von XSS. Wenn du auf Seiten solche Meldungen erhälst, solltest du dir die genaue Beschreibung in der Fehlerkonsole anschauen. Hilfreich wäre es natürlich, wenn du die Meldung hier zitieren würdest.
    Trägst du eine Ausnahme beim XSS-Schutz ein, so werden die XSS-Filter dort nicht mehr angewandt, das mag zwar die Sicherheitsmechanismen aushebeln, ist bei manchen Seiten aber nötig.

    war die Pay-Pal-Domain bezüglich Deines Problems bereits über eine URL-HTTPS (z.B. Port 443) Anfrage schon vorverschlüsselt? Sind eventuelle Log-Auswertungen Deiner Firewall noch vorhanden?

    "NoScript" soll ja bekannterweise bereits schon die sogenannten Meta-Redirects abfangen - nur würde das dann ja in Folge, und in Deinem Falle subsequent bedeuten, dass Du:


    a. Dich im Vorfeld bereits auf einer Pay-Pal-Pishing-Seite (umgeleitet über einen "Silent-Redirect") befunden haben müsstest, oder im Umkehrfall:

    b. Dich bereits auf der authentischen Pay-Pal-HTTPS-Umgebung befandest, die jedoch über nachgeladene und ungesicherte HTTP-Inhalte (wie Bilder, Scripte etc.) gefüttert und somit von der NoScript-Erweiterung in ihrer Gesamtheit als unsicher tituliert wurde.

    Nach Deinen bisherigen Informationen kann ich mir jedoch nicht vorstellen, dass Du gemäss Deiner Darstellungen, hierbei einem "Betrugsversuch" zum Opfer gefallen sein solltest.


    Oliver