nicht angemeldet
Neues (?) Futter für Javascript-Gegner
0 0 0 0 0 0 0 hoppla, der artikel ist ja _total_ veraltet ;-)
Neues (?) Futter für Javascript-Gegner
In Javascript ist ein Bug aufgetaucht, der es Hackern erlaubt, URL-Eingaben des Websurfers zu protokollieren.
Die Sicherheitslücke wurde von einem Mitarbeiter der Bell Labs entdeckt. Demnach könnte ein Hacker unbemerkt ein zweites Fenster im Browser öffnen, in dem ein Javascript-Programm gestartet wird. Dieses Fenster ist winzig klein und fällt nur auf, wenn der User den Browser minimiert. Das Programm protokolliert nun die URLs mit, die der User eingibt, und fängt Daten ab, die in HTML-Seiten eingetippt werden, wie etwa Paßwörter oder auch Kreditkartennummern. Microsofts Internet Explorer (3.x und 4.0) ist ebenso betroffen wie der Netscape Navigator ab Version 2.0. Für die Versionen 3.02 und 4.01a hat Netscape inzwischen einen Fix auf die Homepage gestellt (www.netscape.com/flash2/assist/security/resources/bell_labs_privacy.html). Kurz darauf demonstrierte Dan Brumleve auf seiner »Tracker-Seite« (www.aleph2.com/tracker/tracker.cgi) eine Variation des Javascript-Programms, die auch den Navigator mit Bugfix außer Gefecht setzt. Bis ein funktionierender Bugfix zur Verfügung steht, sollten Anwender im Browser Java/Javascript deaktivieren.
Gefunden bei zdnet.de.
Zittert mal schön weiter ihr Angsthasen *g*
cucu
Thomas
PS: ich bin stur und lasse JS aktiviert.
-
Hi Thomas"
In Javascript ist ein Bug aufgetaucht, der ... unbemerkt ein zweites Fenster im Browser öffnen, in dem ein Javascript-Programm gestartet wird. Dieses Fenster ist winzig klein und fällt nur auf, wenn der User den Browser minimiert. Das Programm protokolliert nun die URLs mit, die der User eingibt...
Warum Javscript deaktivieren? Geht doch viel schöner - einfach den SELFHMTLBrowser ab Version 1.0 verwenden *G* - da gibt es keine möglichkeiten URLs die man abfangen kann zu verwenden *G*.
CU Roman
P.S.: Ulf, hast du was dagegen wenn ich mal noch ein paar änderungen mache und dann als Version 1.11 herausgebe (Inkl. Download mit den benötigten Bildern)?
-
Hi Forum und Ulf!
P.S.: Ulf, hast du was dagegen wenn ich mal noch ein paar änderungen mache und dann als Version 1.11 herausgebe (Inkl. Download mit den benötigten Bildern)?
Ich hatte leider nicht die gedult auf deine Antwort zu warten, also habe ich es mal eigenhändig gehändert.
Neue Features by Version (1.11):
- reload-bug in 1.1 behoben
- alle Bilder sind inkludiert
- Chat-Button (ganz wichtig *G*)
- Logo geändert
- Farbe der Menüleiste an die des Chats angepaßt
- Dateinamen geändert
Downloadbar unter http://195.202.152.140/browser111.zip (6,02 KB)
Installationsanweisung:
Am besten das Zip in einem neuen Unterordner in Selfhtml(zB SelfBrowser) entpacken und dann eine Verknüpfung zum Desktop mit SelfBrowser.hta machen. In den Eigenschafen der Verknüpfung unter "Change Icon..." die Datei xweb.ico angeben - Fertig!Für die nächste Version würde mir noch einfallen:
- Images für alle Buttons
- Änderbarer Titel nach den bestimmten Seiten (Selfhtml, Selfaktuell, Selfchat, Selfspezial [=hier fehlt auch noch der link] ...)
- Beim Reload könnet man noch ein input-feld für die dauer des timeouts machen (natürlich in min *G*)
CU Roman
P.S.: Falls mir Ulf nicht den Kopf abreist könnt ihr gerne noch weitere vorschläge machen.
-
Hallo Roman!
Downloadbar unter http://195.202.152.140/browser111.zip (6,02 KB)
Ist ein Fehler im Link??? Kriege einen 404!!!
Danke fürs Überprüfen!
Bis danndann
PAF (patrickausfrankfurt) -
Hi Roman, hi Forum,
P.S.: Ulf, hast du was dagegen wenn ich mal noch ein paar änderungen mache und dann als Version 1.11 herausgebe (Inkl. Download mit den benötigten Bildern)?
Natürlich nicht, im Gegenteil, ich finde es klasse, wenn du Lust hast mitzumachen.
Neue Features by Version (1.11):
- reload-bug in 1.1 behoben
- alle Bilder sind inkludiert
- Chat-Button (ganz wichtig *G*)
Hatte ich bereits in einer noch nicht veröffentlichten Version implementiert <g>.
- Logo geändert
- Farbe der Menüleiste an die des Chats angepaßt
- Dateinamen geändert
Downloadbar unter http://195.202.152.140/browser111.zip (6,02 KB)
Dieser Link funktioniert leider nicht, wie Patrick bereits gemerkt hat, überprüfe dies bitte nochmal.
Für die nächste Version würde mir noch einfallen:
- Images für alle Buttons
- Änderbarer Titel nach den bestimmten Seiten (Selfhtml, Selfaktuell, Selfchat, Selfspezial [=hier fehlt auch noch der link] ...)
Yep, gute Ideen.
- Beim Reload könnet man noch ein input-feld für die dauer des timeouts machen (natürlich in min *G*)
Hier könnte man ein Dialogfenster machen, das weitgehende Konfigurationen zulässt, beispielsweise eingabe Name/E-Mailadresse, die dann immer automatisch in die entsprechenden Feldern geschrieben werden, ähnlich Calocybes Bookmarklets.
P.S.: Falls mir Ulf nicht den Kopf abreist könnt ihr gerne noch weitere vorschläge machen.
Warte nur, bis ich dich am Schopf packen kann... Nein, Spass bei Seite, ALLE sind herzlich eingeladen, mit Vorschläge (und natürlich auch Code) anzukommen. =$-)
Gruß,
UlfL -
Hi nochmal,
ich finde es wirklich klasse, wenn der SelfBrowser von mehreren Leuten weiterentwickelt wird. Danke für deine Initiative, Roman!
Mir wäre es aber lieber, wenn der Quellcode trotzdem hier gepostet wird, und möglichst als eigenständiger Thread, so dass möglichst viele mitbekommen, wenn was Neues hinzukommt. Kann man ausserdem schnell in den Code schauen, kann jeder für sich entscheiden, ob ein Update lohnt. Und man ist nicht so sehr auf streikende Server angewiesen...
Wenn der SelfBrowser den Rahmen einer einzelnen Datei bereits gesprengt hat, wäre es aber besser, wenn die verschiedenen Versionen zentral verwaltet werden. Am besten wäre hierfür natürlich SELFAKTUELL selbst (wenn's für Stefan kein Problem ist), oder eine Fanseite. Ich kann auch mein Webspace bei geocities zur Verfügung stellen.
Gruß,
UlfL-
Hallo Ulf!
ich finde es wirklich klasse, wenn der SelfBrowser von mehreren Leuten weiterentwickelt wird. Danke für deine Initiative, Roman!
Danke, für deine weltoffenheit *G*
Mir wäre es aber lieber, wenn der Quellcode trotzdem hier gepostet wird, und möglichst als eigenständiger Thread, so dass möglichst viele mitbekommen, wenn was Neues hinzukommt. Kann man ausserdem schnell in den Code schauen, kann jeder für sich entscheiden, ob ein Update lohnt. Und man ist nicht so sehr auf streikende Server angewiesen...
Was am link falsch ist, weiß ich noch nicht - bin jetzt erst in meine 2. arbeit gekommen - bin gegen 20:30 daheim und werde dann das korrigieren (komisch heute in der früh stand in der statistik das es zwei zugriffe darauf gab - na wir werden sehen) + den Source im eigenständigen Thread posten
Wenn der SelfBrowser den Rahmen einer einzelnen Datei bereits gesprengt hat, wäre es aber besser, wenn die verschiedenen Versionen zentral verwaltet werden. Am besten wäre hierfür natürlich SELFAKTUELL selbst (wenn's für Stefan kein Problem ist), oder eine Fanseite. Ich kann auch mein Webspace bei geocities zur Verfügung stellen.
Den richtigen platz dafür sehe ich bei PAF (SelfSpezial) - oder PAF?
-
Hallo Roman, Hallo Ulf!
Ulf schrieb:
Wenn der SelfBrowser den Rahmen einer einzelnen Datei bereits gesprengt hat, wäre es aber besser, wenn die verschiedenen Versionen zentral verwaltet werden. Am besten wäre hierfür natürlich SELFAKTUELL selbst (wenn's für Stefan kein Problem ist), oder eine Fanseite
Noch nie von der "offiziellen" Seite für alle Fans von SELFHTML, SELFHTML Forum und SELFHTML Chat! gehört? <g>
Hier ist der URL: http://www.atomic-eggs.com/selfspezial/
Den richtigen platz dafür sehe ich bei PAF (SelfSpezial) - oder PAF?
Sicher! Auch dafür sind die Seiten da... alles, was die SELF-Community bewegt oder beschäftigt....
Übrigens, wir warten auf Eure Beiträge!
Bis danndann
PAF (patrickausfrankfurt)
-
-
-
-
Hallo!
In Javascript ist ein Bug aufgetaucht, der es Hackern erlaubt, URL-Eingaben des Websurfers zu protokollieren.
Tja.... daß der Bug kaum in JavaScript zu suchen sei, wohl aber in den Interpretern also in den Browsern, ist hoffentlich auch den Leuten von zdnet.de bekannt!
Grüße
Thomas-
Hallo,
Tja.... daß der Bug kaum in JavaScript zu suchen sei, wohl aber in den Interpretern
also in den Browsern, ist hoffentlich auch den Leuten von zdnet.de bekannt!Das Konzept von Javascript enthält ansich eigentlich keine großen Sicherheitskonzepte. Man glaube einfach, daß in dem man bestimmte Sachen einfach wegläßt aus der Sprache (oder besser gesagt, verdef.Objekte & Methoden), daß dann es von sich aus sicher wäre.
Funktionen, wie das öffnen eines Fensters oder auslesen von Formularfeldern, sind ja nun im Prinzip ganz normale Javascript Funktionen (die gemäß der Spezifikation auch arbeiten). Die werden halt nur noch geschickt angewandt.
Es gibt natürlich auch Sicherheitslücken, wo man Programmierfehler in Browsern ausnutzt, keine Frage. Aber es sind nicht immer die "unfähigen" Programmierer schuld :-)Gruß
Michael
-
-
Hallo Thomas
Demnach könnte ein Hacker unbemerkt ein zweites Fenster im Browser öffnen, in dem ein Javascript-Programm gestartet wird. Dieses Fenster ist winzig klein und fällt nur auf, wenn der User den Browser minimiert. Das Programm protokolliert nun die URLs mit, die der User eingibt, und fängt Daten ab, die in HTML-Seiten eingetippt werden, wie etwa Paßwörter oder auch Kreditkartennummern.
So weit so gut. Und was macht das kleine Fenster dann mit diesen Daten? Die gesammelten Daten befinden sich ja bis dahin nur dort, wo sie sich sowieso schon befinden - naemlich im aktuellen Arbeitsspeicher des Users. Was kann JavaScript mit diesen Daten machen? Wie kommen die Daten zum Hacker? Bitte um Aufklaerung ;-)
viele Gruesse
Stefan Muenz-
Hallo Stefan,
kann ich mir nur so vorstellen, daß es als Formular abgeschickt wird oder das evtl. fremde Formulare so manipuliert werden, daß sie nicht mehr an den gewünschten Adresaten gehen.
Aber eine genaue Aufklärung wäre schon interessant. Wenns nämlich wirklich "bloß" Formulare wäre, könnte man sich ja evtl. schützen, indem man "Warnen vor abschicken eines Formular's" aktiviert.Gruß
Michael-
Hallo Michael,
Aber eine genaue Aufklärung wäre schon interessant. Wenns nämlich wirklich "bloß" Formulare wäre, könnte man sich ja evtl. schützen, indem man "Warnen vor abschicken eines Formular's" aktiviert.
Das Script koennte versuchen, alle Daten in mit document.write() selbst erzeugten <input type=hidden>-Feldern zu speichern, das alles wiederum eingeschlossen in einem Formular mit action=irgendeinCGI und dieses dann bei Gelegenheit, z.B. nach jedem Seitenwechsel im anderen Fenster, mit der submit-Methode abzuschicken. Ich weiss aber nicht, ob das wirklich funktionieren wuerde, d.h. ob die Browser das zulassen wuerden. Muesste man mal ausprobieren ;-)
viele Gruesse
Stefan Muenz-
Hallo Stefan!
Das geht leider viel einfacher - Also die ganzen Daten in den URL schreiben zB www.irgendwo.com/script.asp?URL=www.teamone.de/selfhtml/. Das Script braucht dann nur die Variable URL abfragen - fertig. Aber Stefan das weißt du doch *wunder*
CU Roman
-
-
-
Hi Stefan,
So weit so gut. Und was macht das kleine Fenster dann mit diesen Daten? Die gesammelten Daten befinden sich ja bis dahin nur dort, wo sie sich sowieso schon befinden - naemlich im aktuellen Arbeitsspeicher des Users. Was kann JavaScript mit diesen Daten machen? Wie kommen die Daten zum Hacker? Bitte um Aufklaerung ;-)
Mehr weiß ich auch nicht mehr als das was da steht.
http://www.zdnet.de/internet/artikel/java/9709/js-wf.htmUnd dort steht nicht mehr als ich hier gepostet habe.
cucu
Thomas
-
-
Hi!
In Javascript ist ein Bug aufgetaucht, der es Hackern erlaubt, URL-Eingaben des Websurfers zu protokollieren.
wenn du sie noch hast, wäre die genaue url interessant, wo der Artikel zu finden ist.
mfG
BRAND-
Hallö,
hier den URL http://www.zdnet.de/internet/artikel/java/9709/js-wf.htm
cucu
Thomas
-
-
Hi Thomas,
wo hat du die info eigentlich her? (URL)...ich würde mir das ganze gerne 'mal durchlesen ;)
(die beiden URLs die du angegeben hast sind leider tot)Aber was soll die panikmache eigentlich? JS _kann_ keine dateien schreiben, keine programme ausführen und auch sonst nix machen, was die daten irgendwie zum hacker schaffen könnte, also was soll's...
Oder geht der bug vielleicht doch in eine _dieser_ richtungen *grusel* ???so long...
/*,*/
Wowbagger -
Morgen!
Neben der mehrfach gestellten Frage, wie diese Daten zum Hacker kommen - wen interessierts?
Ich kann nicht für alle Sprechen, wahrscheinlich geht es auch mit um das Prinzip, aber die URLs, die ich eintippe, kann jeder der will auch protokollieren.
Das geht irgendwie in die Richtung, das meine Wohnung eine Sicherheitslücke hat, weil man durch das Fenster sehen kann :-)CU,
Carsti
-
Morgen!
Hallo Carsti,
Ich kann nicht für alle Sprechen, wahrscheinlich geht es auch mit um das Prinzip,
aber die URLs, die ich eintippe, kann jeder der will auch protokollieren.jeder? .... nunja .... Ganz so einfach ist es glücklicherweise dann doch nicht.
Das geht irgendwie in die Richtung, das meine Wohnung eine Sicherheitslücke hat,
weil man durch das Fenster sehen kann :-)Die URL's mit denen man ja ein wenig in die Privatsphäre eindringt, ist eine Sache. Es ging aber auch um Formulare (mit Passwörter und Kreditkartennummer). Beides ist schwierig durchs Fenster zu erkennen :-)
Sicher, man sollte solche Sachen nicht hochspielen. Kommt ja auch immer auf die Sicherheitslücke an. Mit einer Sicherheitslücke, mit der man meinen Browser zum Absturz bringt, ist zwar ärgerlich, aber damit kann ich leben (dann geh ich halt nicht mehr auf die Site). Aber wenns auspionieren oder manipulieren von Daten geht, dann sollte man zumindest mal drüber nachdenken und nicht gleich abwinken.Gruß
Michael-
Die URL's mit denen man ja ein wenig in die Privatsphäre eindringt, ist eine Sache. Es ging aber auch um Formulare (mit Passwörter und Kreditkartennummer). Beides ist schwierig durchs Fenster zu erkennen :-)
So harmlos scheint mir das garnicht. Immerhin gibt man eine URL ein und gelegentlich gleich danach auf dieser Seite ein Username und Passwort. Kommt garnicht so selten vor. Fragt sich dann, wie anonym der Hacker dabei bleiben kann, wenn er die daten tatsaechlich irgendwo verarbeiten will und jemand dahinterkommt.
Aber vielleicht sollte man wirklich darueber nachdenken, dass man nicht von fremden Domains auf Formulardaten der Seite zugreifen darf. Das laesst sich sicher in die Browser integrieren.
Viele Gruesse, Thomas Hieck
-
Hallo Thomas,
Warum sagst Du mir das? Ich bin ja (im Prinzip) Deiner Meinung (istl ja nicht so sein, dass wir uns immer streiten *g*).
Aber vielleicht sollte man wirklich darueber nachdenken, dass man nicht von fremden
Domains auf Formulardaten der Seite zugreifen darf. Das laesst sich sicher in die
Browser integrieren.Ja, und mir war auch so, als wäre das schonmal realisiert worden (das man nicht auf Objekte die von HTML-Seiten anderer Domains stammen, nicht zugreifen darf).
Das Problem hatte ich nämlich auch schonmal. Da war Datenbankserver und Webserver getrennt (auf verschiedenen Computern) und da hat der Javascriptzugriff untereinander auch nicht geklappt und Netscape hat eine Sicherheitsfehlermeldung (in der JS-Konsole) geliefert.
Deshalb würde mich der genaue Mechanismus der hier zum tragen kommen soll, schonmal interessieren.Gruß
Michael-
Warum sagst Du mir das? Ich bin ja (im Prinzip) Deiner Meinung (istl ja nicht so sein, dass wir uns immer streiten *g*).
Ich hab Dich ja nur ergaenzt, weil ich hier das erste Mal einsehe, dass Javascript fuer den unerfahrenen Surfer zur Falle werden koennte. Allerdings muss ich erst testen, ob man die Daten wirklich ohne weiteres sammeln und wegschicken kann.
Viele Gruesse, Thomas Hieck
-
-
-
-
-
hey leute,
das ist mir auch erst jetzt aufgefallen, nachdem ich eben den original-artikel gelesen habe:
Dieser stand in der Ausgabe 9/97 !!!
und ist somit 'n alter hut (nach nunmehr drei jahren sollte man also davon ausgehen, daß die sicherheitslücken geschlossen wurden - z.b. kann man in modernen browsern keine fenster mehr erzeugen, die kleiner sind als 100x100 pixel!!!)
so long...
/*,*/
Wowbagger-
Moin,
und ist somit 'n alter hut (nach nunmehr drei jahren sollte man also davon ausgehen, daß die sicherheitslücken geschlossen wurden - z.b. kann man in modernen browsern keine fenster mehr erzeugen, die kleiner sind als 100x100 pixel!!!)
da hab ich so meine Zweifel: Ich kenn da jemanden (nicht wahr Alteeeeer? <g>), der genau das auf seiner Seite http://www.atomic-eggs.com in einem besonders "gemeinen" Unterbereich tut. Welche Browser sind davon mal wieder betroffen? IE 4 und 5 - ist doch logo oder? ;-))
Bis dannundwann
Andreas
-
Hi Andreas,
da hab ich so meine Zweifel: Ich kenn da jemanden (nicht wahr Alteeeeer? <g>), der genau das auf seiner Seite http://www.atomic-eggs.com in einem besonders "gemeinen" Unterbereich tut. Welche Browser
Hab' ich mir gerade 'mal 'angetan' und kann das was du da sagst absolut nicht nachvollziehen...da passieren zwar nervige dinge und fenster fliegen durch die gegend, aber keines davon war wirklich ein _verstecktes_ fenster...
(alte gaukler-tricks wie endlosschleifen in denen sich ständig neue fenster öffnen hauen nun weis gott niemandem mehr vom hocker! Interessant wäre eine art JS-exploit für 'verdeckte aktionen'!)so long...
/*,*/
Wowbagger-
Hi Wowbagger!
http://www.atomic-eggs.com/halle/halofba4.html
Hab' ich mir gerade 'mal 'angetan' und kann das was du da sagst absolut nicht nachvollziehen...da passieren zwar nervige dinge und fenster fliegen durch die gegend, aber keines davon war wirklich ein _verstecktes_ fenster...
Nun ja, irgendwer sagte mir, ab einer bestimmten Auflösung, funzt es nicht. Aber Tatsache ist, dass, wenn Du einen window.open mit width und height bei ungefähr 65550 erzeugst, dass Popupfenster unsichtbar wird. Ich habe darüber mehrmals gepostet, es müsste sich im Archiv finden. Und genau diesen Trick nutze ich in der Halle, bei den Gemeinheiten speziell für den IE.
Archiv:
<../../sfarchiv/1998_4/t01539.htm> und mit Screenshots:
<../../sfarchiv/1999_1/t02218.htm#a10320>Der Herr der atomischen Eiern lügt nie (selig, wer's glaubt <g>)
Bis danndann
PAF (patrickausfrankfurt)
-
Hi PAF,
genau, da war ich und hab's mir angesehen...
Nun ja, irgendwer sagte mir, ab einer bestimmten Auflösung, funzt es nicht. Aber Tatsache ist, dass, wenn Du einen window.open mit width und height bei ungefähr 65550 erzeugst, dass Popupfenster unsichtbar wird. Ich habe darüber mehrmals gepostet, es müsste
interessanter ansatz (so 'ne art 'number-range-bug' im IE vielleicht?), aber bei meinem IE4 klappt das nicht (und ich fahre die häufig zum einsatz kommenden 800x600).
Er legt das fenster über den gesamten bildschirm, beginnend ab position 0;0. An dieser pos. befindet sich dann auch ganz normal das gadget zum schließen.so long...
/*,*/
Wowbagger<img src="http://www.iws-ks.de/micha/stuff/billy/wow.gif" alt="">
-
-
-
-