Tabbed Browsing angreifbar

Die Schwachstelle gibt es im FF 0.10.1 auch :(, eben getestet.

Zitat von Deg79

Die Schwachstelle gibt es im FF 0.10.1 auch :(, eben getestet.

Kann ich leider nur bestätigen.

Eine "Lösung" wird aber auch gleich angeboten:

Solution:
Don't visit trusted web sites while visiting untrusted web sites or disable JavaScript.

Crassus

Zitat von Crassus

Solution:
Don't visit trusted web sites while visiting untrusted web sites or disable JavaScript.

Darf ich das Fragezeichen so verstehen, dass hier Erklärungsbedarf besteht?
Man soll keine sensiblen Seiten wie z.B. Homebanking besuchen, während in einem anderen Tab noch verdächtige Seiten aktiv sind.
Bei dem aktuellen Problem müsste man ja sogar den Link zu seiner Bank auf einer fremden Seite angeklickt haben. Das Spoofing-Verfahren gräbt keine dunklen Gänge von einem Tab zum anderen, sondern sendet einfach wenige Sekunden nach dem Klick ein Fensterchen. Ohne Javascript (oder ähnliche aktive Inhalte) geht das natürlich nicht.
In Fx 1.0RC ist es noch nicht behoben, aber vielleicht mit 1.0 Final.

Martin

D.h. wenn man seine, z.B., Bank (sprich schützenswerte Site mit sensiblen Daten) ansurft, sollte man kein anderes Tab geöffnet haben. Na dann geht es ja,

Crassus

War es bei euch auch so das die Citibank Seite total gesponnen hat während ihr die Testseite aufhattet? Ich konnte die Zahlen nicht sehen die ich eingetippt hatte, die standen dann dafür auf der Spionageseite.
Also sollten einfach nur die Alarmglocken läuten wenn ihr sowas seht!

Diese Schwachstelle setzt aber auch auf 'Kooperation' der Person vor dem Bildschirm. Im Fall von Banken ist es mir noch nie begegnet, dass man irgendetwas vertrauliches in ein JavaScript Fenster eingeben soll.
Als Safer-Surf Regel sollte dementsprechend einfach ergänzt werden:

Vertrauliche Eingaben nur auf https Seiten und insbesondere nicht in Javascript Fensterchen (die imho. gut von nomalen Browserfenstern/tabs zu unterscheiden sind)

Und das man Bankseiten am besten nur über die als Lesezeichen gespeicherten Login Seiten abruft, sollte mittlerweile ja auch bekannt sein.

dorftrottel: Nö, bei mir war die citibank Seite ganz normal...

das problem is doch schon lange bekannt:
zb
http://seclists.org/lists/bugtraq/2000/Dec/0121.html

und betrifft eigentlich nicht das tabbed browsing, sondern javascript...

bc

Wer klickt den bitteschön auf irgendeiner Seite einen Link ein, wenn er online banking machen will?

Ich gebe die Seite immer von Hand ein.

Zitat von BobaSchlank

Wer klickt den bitteschön auf irgendeiner Seite einen Link ein, wenn er online banking machen will?

Och, wenn du das geschickt einfädelst bekommst du schon genug Leute dazu!

Das Problem bei dieser "Sicherheitslücke" sind die "Dummies vor den PCs, die entweder ständig auf "Ja" bzw. "Okay" klicken oder ihre sensiblen Taten ins nächstbeste Feld eingeben. Und von diesen PC- und Internet-Usern gibt es, leider, mehr als genug.

Gegen diese Problem hilft wohl nur, dass JavaScript automatisch deaktiviert wird, wenn man auf eine https-Seite geht.

Hallo,

ich begreife da vermutlich was nicht, weil wenn ich mich zum Diba Hombanking anmelden will geht da ohne javascript überhaupt nix.
Die Anmeldeseite ist nur weiss und unten links steht: Fertig
Mit Javascript gehts dann.

Gruss haribo

wahrscheinlich wird dort javascript verwendet, um dich auf eine seite des banking-systems weiterzuleiten...

Dass das nur geht, wenn man per Direktlink von jener Seite auf die Seite mit dem Onlinebanking springt, stimmt so nicht. Ich hab den Test auch gemacht und den Tab offen gelassen. Was glaubt ihr wohl, was passierte, als ich hier posten wollte???

Zitat von Manny73

Das Problem bei dieser "Sicherheitslücke" sind die "Dummies vor den PCs, die entweder ständig auf "Ja" bzw. "Okay" klicken oder ihre sensiblen Taten ins nächstbeste Feld eingeben.

....... gerade diese Leute sind von dieser Lücke nicht betroffen, weil sie ihren Rechner schon längst an anderen Lücken zerschossen haben. [Blockierte Grafik: http://www.thomas-pake.de/smilie/party.gif]

Grüße von B. Lindemann

Da dieser also nun der offizielle Thread zu den Tabbrowser Sicherheitslücken ist, weitere Informationen.

http://mozillazine.org/talkback.html?article=5404 (Versuch, das Wichtigste sinngemäss zu übersetzen):
Diese Bugs haben geringe Priorität.
Mozilla kann keine schnelle Behebung versprechen.
Das Problem wurde bereits 2002-02-10 erkannt.

Die Sache mit den im verdeckten Tab ankommenden Eingaben ist Bug 124750. Ein Gegenmittel wurde schon programmiert, aber es war nicht gut genug, um in die laufende Entwicklung aufgenommen zu werden.

naja bremens mti diesem bug vergleichen ist ja wohl eher falsch.

wenn dann könnte man diesen bug damit vergleichen wenn jemand einen pafel oder ähnliches unters brems pedal fallen lässt.

mit bremsen wuerde ich das auch nicht vergleichen, eher mit nem defekten radio im auto was immer auf den gleichen sender springt

so gravierend sehe ich diesen "bug" nicht, es ist nunmal ne javascript funktion, und man kann nicht erwarten, alle funktionen auf moegliche "hacker"angriffs/ausnutzungsmoeglichkeiten mit brief&siegel geprueft zu bekommen.

bc