was meint ihr dazu?

[docNet]

http://www.spiegel.de/netzwelt/technolo ... 44,00.html

[emge]

Wieder eine Bestätigung dafür, nicht blind in irgendwelche Fenster und Formulare etwas einzugeben und wenigstens vor dem Drücken auf den Absendebutton nochmal hinzuschauen, ob alles so ist, wie man sich das vorher gedacht hat.

Grüße, Marco

[trozmo]

na ja, welche bank arbeitet denn mit java-script popups? mal ganz davon abgesehen, dass man die url seiner bank selbst eingibt bzw. aus seinen bookmarks wählt und auch nur daten in eine zertifizierte ssl-original-seite eingibt.

außerdem kommt die abfrage nicht von der bankseite, sondern von der secunia seite:

Code: Alles auswählen

<SCRIPT>
var activated;
function launchTimedPrompt()
{
if ( !activated )
{
activated = true;
document.myform.userinput.value = prompt("This is a test security survey. Please enter a test string below:");
alert("Go back to the Secunia tab where you opened this window and see the result.");
}
}

</SCRIPT>

wo ist denn da das spoofing?

also sollte es auch nicht verwundern, wenn die daten an secunia gehen, ist ja deren eigene javascript-abfrage

meiner meinung nach ein wirklich schlechter werbegag.

[r.Beer]

oooohhhh... Result: undefined *g*

Zeigt bloß, dass die größte Sicherheitslücke VOR dem Bildschirm sitzt nichts weiter. Das ist ne normale Funktion, wie sie anders angewandt einen Sinn hat und ihren Zweck erfüllt.

Blödsinnige Redakteure, die nur wieder Schlagzeielen brauchen - punkt!

[feltel]

Das hat für mich ungefähr den Sensationswert wie die seinerzeit angepriesenen Sicherheitslücken in denen in einem <iframe> file:///C| angezeigt wurde.

[tylerD]

Anstatt mal die Leute vernüftig über die Gefahren aufzuklären wird wieder nur so ein Mist produziert. Was soll solch eine Panikmache alla "hoch kritische Sicherheitslücke"? Naja coole Stategie: einfach noch mehr Gefahren produzieren damit die Leute immer die neuste Personal Firewall und den besten Virenscanner kaufen um dann vor solchen Angriffen geschützt zu sein.

cu

[emge]

na ja, welche bank arbeitet denn mit java-script popups? mal ganz davon abgesehen, dass man die url seiner bank selbst eingibt bzw. aus seinen bookmarks wählt und auch nur daten in eine zertifizierte ssl-original-seite eingibt.

Wie auf Heise [1] zu lesen war, zeigt Secunita auch eine zweite mögliche Ausnutzung der Sicherheitslücke. Die erfordert zwar auch einen recht nachlässigen User aber erscheint mir realitätsnäher als das in dem Spiegel-Artikel beschriebene Szenario. Ich denke mal, es gibt eine Menge Leute, die auf die Tastatur starren und sich im Adlersystem die zu drückenden Tasten rauspicken und am Ende schnell auf die Enter-Taste hauen ohne noch einmal zu prüfen, wo denn ihre Eingaben gelandet sind. Die lassen sich mit diesem Angriff vermutlich eher übertölpeln.

Im Endeffekt sehe ich dabei schon eine Sicherheitslücke, die aber alleine für sich nicht funktioniert sonder auf die Ausnutzung der Sicherheitslücke baut, die vor dem PC sitzt.

Grüße, Marco

[1] http://www.heise.de/newsticker/meldung/52365

[The Torso]

Was ich dazu sage?
Das ganze funktioniert mit dem IE von M$ auch!

[docNet]

Code: Alles auswählen

Insbesondere der Browser Firefox gilt als Liebling der Medien. Für die offizielle Einführung der ersten Vollversion 1.0 im November plant das Open-Source-Projekt erstmals eine prominent plazierte Anzeigenkampagne - und das gleich mit einer vollen Seite in der "New York Times". Das Geld dafür soll - typisch Nonprofit - über eine Spendenkampagne in der "Community" zusammen kommen. Das aber dürfte leichter gelingen, wenn die "Gemeinde" das Vertrauen in die Güte des Produkts nicht verliert.  

dann darf ich davon ausgehen das ihr alle das vertrauen nicht verloren habt..... !

bye

[devilx]

Womit bewiesen wäre: In Browsern, die mit einer Mehrfenstertechnik arbeiten, lässt es sich bequem zwischen Seite A und B kommunizieren.

Sexy! Inter-Browser-Communication - kurz IBC.


Bye

[Jonzl]

na ja, welche bank arbeitet denn mit java-script popups? mal ganz davon abgesehen, dass man die url seiner bank selbst eingibt bzw. aus seinen bookmarks wählt und auch nur daten in eine zertifizierte ssl-original-seite eingibt.

außerdem kommt die abfrage nicht von der bankseite, sondern von der secunia seite:

Code: Alles auswählen

<SCRIPT>
var activated;
function launchTimedPrompt()
{
if ( !activated )
{
activated = true;
document.myform.userinput.value = prompt("This is a test security survey. Please enter a test string below:");
alert("Go back to the Secunia tab where you opened this window and see the result.");
}
}

</SCRIPT>

wo ist denn da das spoofing?

also sollte es auch nicht verwundern, wenn die daten an secunia gehen, ist ja deren eigene javascript-abfrage

meiner meinung nach ein wirklich schlechter werbegag.

Ich sehe darin eigentlich auch keine SIcherheitslücke... Das Javascript kommt ja von der Secunia homepage.... Und ein Script, das die Eingabe von einem Fenster in eine Textbox übergitbt, kann ich nicht als Sicherheitslücke sehen.
Btw: Das Fenster kommt auch, wenn man nicht den Link der Citibank anklickt und einfach ein bisschen wartet... Pure Panikmacherei..

[trozmo]

jo, wie ich bereits schrieb

[storm]

Moin,

da hab ich einen Tag vor Auftauchen dieser "Lücke" einem überzeugtem IE-User ans Herz gelegt, doch lieber einen alternativen Browser zu nutzen, da die Lücken im IE trotz aller Patches und SPs nicht abnehmen werden. Er hat zu meinem Erstaunen auch sofort firefox installiert und war begeistert von dessen Schnelligkeit. Nächsten Tag kommt er an und meint firefox, opera, etc. haben auch eine schwerwiegende Lücke. Dann liest man so einen Mist von Advisory!
Wer so blöd ist, ne Crackerseite und das Login-Fenster zum Online-Banking in einem Browser aufzumachen, dem hilft auch kein NortonIrgendwas oder irgendwelche Patches. Typischer Fall von PEBKAC.

ciao, frank