partikelfernsteuerung


Hit the button, Jack!
8. Oktober 2008, 14:59
Filed under: digitalgebastel | Schlagwörter: , , , , , ,

Wieder ist ein neuer Aspekt der Browsersicherheit aufgetaucht: „Clickjacking“, also das Umlenken von Klicks auf Funktionen, die der Benutzer eigentlich gar nicht aktivieren wollte. Die Idee ist alt, schon seit langem gibt es Versuche, gewisse Sicherheitsabfragen des Browsers teilweise durch Popup-Fenster zu überdecken, so dass der Benutzer denkt, er stimme einer ganz anderen, harmlosen Frage zu. Mit zunehmender Komplexität der Browser funktioniert diese Idee nun weitaus besser.

Hauptsächlich betroffen ist Adobe Flash, aber auch andere Plugins. Das Problem geht so:

  • Webseiten können aus mehreren Layern bestehen, die übereinander liegen. Sie können sogar ganz oder teilweise transparent sein.
  • Flashfilme können auf Webcam und Mikrofon des Computers zugreifen. Von dort aufgenommene Töne und Bilder können beliebig verarbeitet werden, z.B. an einen Server geschickt. Selbstverständlich ist der Zugriff nur möglich, wenn der Benutzer zustimmt.
  • Flash zeigt seine Einstellungen nicht in einem besonderen Fenster an, sondern blendet sie direkt im betreffenden Flashfilm ein. So auch die Abfrage, ob der Nutzer dem Zugriff auf Kamera und Mikrofon zustimmt.
  • Flashfilme sind normaler Bestandteil der Webseite, können also auch von anderen Ebenen überlagert werden. Damit wird dann auch die Sicherheitsabfrage überdeckt.
  • Dennoch ist es möglich, dass ein Klick vom versteckten Layer empfangen wird. Man muss also den Benutzer nur dazu bringen, exakt auf die richtige Stelle zu klicken – z.B. indem dort ein interessanter Link positioniert wird.

Ein Video von Guya macht das Prinzip deutlich. Ursprünglich publiziert wurde das Problem auf ha.ckers.org, Adobe hat bereits darauf reagiert.

Eine simple, aber vielfältig zu missbrauchende Technik, die sehr viele Nutzer betrifft, weil fast alle Browser betroffen sind, und Flash sehr weit verbreitet ist. Und heimlicher Zugriff auf die Webcam ist eine ziemlich konkrete Bedrohung, im Gegensatz zu subtileren Angriffen auf die Privatsphäre.

Abhilfe für Firefox-Nutzer schafft wieder einmal die Erweiterung NoScript, die solche Attacken in der neuesten Version erkennt (im Laufe des Tages sollte hoffentlich auch die deutsche Übersetzung die neue Version ausliefern).

Andere wichtige Firefox-Plugins

Advertisements


Firefox erweitert
18. September 2008, 15:11
Filed under: digitalgebastel | Schlagwörter: , , , , , , , , ,

Mit diesen sechs Addons wird Firefox erst sicher und gut

Firefox ist ein guter und innovativer Browser. Während Konkurrenten wie Microsoft und Google neue Features gerne PR-tauglich feiern, konzentriert man sich bei Mozilla aber eher aufs Kerngeschäft. Revolutionäre Funktionen werden meist von anderen Entwicklern als Erweiterungspakete bereitgestellt. Das heißt aber nicht, dass sie nicht wichtig wären. Hier sechs Firefox-Addons, die Firefox sicherer, privater und besser bedienbar machen. weiterlesen…



Neugierig mit Javascript
1. August 2008, 17:53
Filed under: digitalgebastel | Schlagwörter: , , , , ,

Bei vielen Sicherheitslücken und sonstigen Risiken im Internet muss man fast schmunzeln, weil sie so effektiv um die Ecke gedacht sind. Meist sind die Szenarien, in denen sie tatsächlich zur Anwendung kommen könnten, aber schwer hypothetisch. Für eine schon vor einer Weile bei heise veröffentlichte Lücke gibt es jetzt eine interessante Anwendung, die versucht, das Geschlecht des Besuchers herauszufinden – eine Information, die für alle Werbevermarkter viel wert ist. Das Ganze geht so:

Im Browser können Links, die in letzter Zeit bereits besucht wurden, in einer anderen Farbe dargestellt werden, damit der Besucher den Überblick behält. Das Aussehen von besuchten/noch nicht besuchten Links kann der Webdesigner völlig getrennt per CSS einstellen. Mit Javascript können die CSS-Eigenschaften aller auf der Seite vorhandenen Elemente abgefragt werden, selbstverständig also auch, ob ein Link besucht wurde oder nicht. Wenn ich als Webdesigner nun Links zu vielen wichtigen Sites setze, kann ich abfragen, auf welchen dieser Seiten der Besucher schon unterwegs war. Dass das auch versteckt im Hintergrund geschehen kann, versteht sich von selbst.

Mit ein bisschen Rechnen will Mike in seiner Beispielanwendung nun das Geschlecht seiner Besucher herausfinden. Er fragt für 5000 populäre Websites mit dem obigen Trick ab, ob man sie kürzlich genutzt hat. Da für all diese Websites statistische Daten über die Geschlechterverhältnisse ihrer Besucher bestehen, kann ziemlich einfach berechnet werden, mit welcher Wahrscheinlichkeit der Besucher zum einen oder anderen Geschlecht gehört. (An dieser Stelle kam bei mir das anerkennende Schmunzeln). Aus den Kommentaren von Mikes Besuchern lässt sich schließen, dass dieses einfache Verfahren immerhin öfter richtig liegt als falsch. Mit mehr einbezogenen Webseiten und einer ausgefeilteren Analyse ließe es sich sicher noch verbessern.

Eine richtige Sicherheitslücke ist es nicht, aber es wird deutlich, wie leicht man dem gemeinen Surfer mal wieder viel mehr Informationen entlocken kann, als dieser eigentlich will.

Ach so, NoScript hilft. Außer man nutzt eine andere Methode…