symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Spoofing-Attacken in Mozilla, Opera & Co.
Veröffentlicht durch XTaran am Mittwoch 28. Juli 2004, 15:23
Aus der Java-Script-saugt Abteilung
Security Ein AF schreibt: "Auch die besseren Browser sind nicht unfehlbar: Im aktuellen Mozilla Firefox gibt es laut Postings auf BugTraq eine Möglichkeit, per JavaScript ein fremdes Webseiten-Zertifikat als das eigene vorzugaukeln, sowohl unter Windows als auch unter Linux (*grrrr* TOFU). Und HeiSec berichtet von neuen Address-Spoofing-Attacken (ebenfalls per JavaScript), die auch noch im aktuellen Opera funktionieren, obwohl Opera sein 7.5er Release schon zweimal wegen solchen Attacken nachgebessert hat."

Weiter wurde auf Full-Disclosure ein ebenfalls auf JavaScript basierendes Verwirrspiel für Browser vorgestellt, welches in vielen Browsern Address-Spoofing-Bugs oder Crashes zu Tage führt, aber überall andere: Konqueror soll sogar GNOME crashen, bei Mozilla & Co scheint's nur das Betrachten des Quellcodes zu betreffen, der MSIE funktioniert beim ersten Mal korrekt, der Bug tritt erst beim zweiten Mal auf, ist dann aber so heftig, daß Formulare an die vorgegaukelte Webseite geschickt werden (!), Netscape 4 funktioniert so lange perfekt, bis man das Fenster schließt, dann geht es in eine unendliche alert()-Schleife, Opera stört sich kein bißchen und verhält sich korrekt und links2, der einzige Textbrowser mit JavaScript-Support, unterstützt kein onUnload und scheint damit nicht verwundbar zu sein.

Auch nett in dem Zusammenhang: iebug.com :-)

"Echte Männer" geben mit Hightech an | Druckausgabe | 0,4mm hohe Kameraobjektive  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Mozilla Firefox
  • BugTraq
  • Full Disclosure
  • GNOME
  • Heise
  • Heise Security
  • Konqueror
  • Linux
  • Mozilla
  • Netscape
  • Opera
  • Was ist ein Wiki?
  • Wikipedia
  • unter Windows
  • unter Linux
  • TOFU
  • HeiSec berichtet
  • Verwirrspiel
  • iebug.com
  • Mehr zu Security
  • Auch von XTaran
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    Safari macht keine Probleme (Score:2)
    Von maradong (nospam-bob@hentges.net) am Wednesday 28. July 2004, 21:49 MEW (#1)
    (User #1402 Info) http://bob.hentges.lu/
    Titel ist eigentlich schon Programm ;-)

    Safari, der zwar ebenso wie Konqueror, auf der KHTML Engine aufgebaut ist, macht bei der Seite überhaupt keine Probleme. Alles funkionniert eigentlich ganz normal. So normal, daß ich mich frage ob ich es überhaupt richtig teste ;-)

    Ein schneller Hopser hinunter, Rechner dort neugestartet, und Windows hochgefahren, offenbart sich die ganze Problematik ;-)
    --
    Some people drink from the fountain of knowledge, others just gurgle.
    Re: Safari macht keine Probleme (Score:2)
    Von DHReutter (reutter@informatik.tu-muenchen.de) am Thursday 29. July 2004, 08:25 MEW (#2)
    (User #185 Info) http://www.bingo-ev.de/~br1764/
    Um es zu konkretisieren:

    Das Script bei HeiSec sollte eigentlich die HeiSec-Seite aufrufen. Wenn der Browser die HeiSec-Seite lädt und fehlerhaft ist, dann wird in der Adress-Leiste www.opera.com angezeigt.

    Safari zeigt, das muss man dazusagen, auch www.opera.com an. Allerdings auch mit dem Inhalt derselbigen.

    Daniel "Ist das jetzt ein Bug oder nicht?" Reutter
    --
    Heinlein's Razor:
    Never attribute to malice that which can be adequately explained by stupidity
    Re: Safari macht keine Probleme (Score:2)
    Von maradong (nospam-bob@hentges.net) am Thursday 29. July 2004, 09:09 MEW (#3)
    (User #1402 Info) http://bob.hentges.lu/
    IMHO ist das kein Bug, sondern ein feature (Achtung Religionsstreit).
    Mit meiner Aussage habe ich micht zwar auch mehr auf das besagte Verwirrspiel bezogen. Safari öffnet die Links ohne Probleme.
    --
    Some people drink from the fountain of knowledge, others just gurgle.

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen