LinkBack URL
About LinkBacks
ZitierenTheoretisch. Aber guck Dir zB mal das Onlinebanking der Volksbank Karlsruhe an ( Link links oben ) und versuch mal rauszukriegen, woher das Login-Popup kommt
Ganzer Bericht: Spiegel onlineEine Warnung des IT-Sicherheitsunternehmens Secunia sorgt für Unruhe: Derzeit weisen alle gängigen Browser klaffende Sicherheitslücken auf. Betroffen sind auch Firefox, Opera, Mozilla und Co: Über ihre "Mehrfenster-Browsing"-Funktionen lassen sich Passworte, PIN-Nummern und ähnliches abfischen.
Gruß, der Michl
* * * if you want them to RTFM, make a better FM! * * *
Theoretisch. Aber guck Dir zB mal das Onlinebanking der Volksbank Karlsruhe an ( Link links oben ) und versuch mal rauszukriegen, woher das Login-Popup kommt
Gruß, der Michl
* * * if you want them to RTFM, make a better FM! * * *
Mich nerven diese Meldungen über Sicherheitslücken schon ungemein.
Solange der Mensch entwickelt wird es immer Fehler, Sicherheitslücken und sonstige Mängel geben.
Das ist meine Meinung - ich will damit niemandem zu nahe treten
@steff
Aber wenn keiner die Lücken meldet (sie also der Allgemeinheit nicht bekannt sind), dann ist die Gefahr umso größer, dass dadurch Schaden entsteht.
Ist eine Sicherheitslücke erstmal öffentlich bekannt, dann wird sie auch schnell behoben (Ausnahme: M$, sie bauen sogar alte Probleme in neue Software wieder ein...).
Ich finde das beschriebene Szenario etwas aufgesetzt. Wer ruft schon seine Bankingseite über einen externen Link auf (Das ist ja Vorraussetzung dafür, damit die spoofende Site auch weiss, welche Daten da eingegeben werden)? Welche seriöse Website benutzt JavaScipt zur Authentifizierung? Wenn dann plötzlich ein solches PopUp aufgeht, sollte der User also sowieso schonmal kritisch sein.
In der "freien Wildbahn" dürfte die reale Gefahr dieses "Lecks" im Moment recht gering sein.
Trotzdem muss das Problem behoben werden.
Am Ende bleibt wieder: Der User muss die Materie kennen und die Gefahren einschätzen können. Also ist es doch gut, wenn Sicherheitsprobleme public gemacht werden.
EDIT:
Das Popup wird ja eindeutig erst auf Klick des Users geöffnet. Natürlich könnte man hier einer Fishing-Atacke auf den Leim gehen. Doch, wenn ich auf das Schloß-Symbol im Browserfenster klicke, kann ich mir das Zertifikat und die URL der gezeigte Website ansehen.Zitat von webmichl
Aber guck Dir zB mal das Onlinebanking der Volksbank Karlsruhe an ( Link links oben ) und versuch mal rauszukriegen, woher das Login-Popup kommt
Mit der Tabbed-Browsing-Lücke hat das ja nix zu tun, denn die setzt ja vorraus, dass eine Seite in einem gerade nicht sichtbaren Tab selbsttätig ein Popup öffnet und die eingegebenen Daten dann verarbeiten kann.
Ich stelle mir die Lösung so vor:
Ein Popup wird nur dann angezeigt, wenn ich das Tab aktiviere (ansehe). Ein Popup in einem inaktiven Tab kommt nicht hoch, sondern wird z. B. durch einen blinkenden Tab-Reiter angezeigt. Erst beim ansehen eines Tabs erscheint auch das zugehörige Popup.
Just my 2 Cents.
Geändert von tribun (22.10.2004 um 10:22 Uhr)
if (!isset($plan)) {
$antwort1 = forum_suche($frage);
$antwort2 = google_suche($frage);
if ($antwort1 == "" && $antwort2 == "") {
$post = forum($frage);
$plan = $post;
}
}
array_push($community, $plan);
Natürlich, da geb ich dir absolut recht. Es ist wichtig, dass gravierende Sicherheitslücken aufgezeigt werden.@steff
Aber wenn keiner die Lücken meldet (sie also der Allgemeinheit nicht bekannt sind), dann ist die Gefahr umso größer, dass dadurch Schaden entsteht.
Ist eine Sicherheitslücke erstmal öffentlich bekannt, dann wird sie auch schnell behoben (Ausnahme: M$
Doch nimmt man alle Warnhinweise wirklich ernst, dann kannst du dir zwei Tage pro Woche Zeit nehmen um alle Patches für die unterschiedlichsten Software-Pakete zu installieren => wer zahlt das? Mein Chef sicher nicht...
Ich denke, dass ein gesichertes System (FW = Firewall nicht Fireworks
Da dieses Thema eine Grundsatzdiskussion auslösen könnte, die m.E. aber hier nix verloren hat, betrachte ich das Thema für mich als erledigt
Stimm. Der "Normaluser" ist damit aber überfordert und mitterweile gar verängstigt (Internet="Böööööhhhhseeee!!").
Und das zu einer Zeit, wo Computer für jeden überall verfügbar sind und kinderleicht bedienbar sein sollten...
Genau. Lassen wir das einfach.Da dieses Thema eine Grundsatzdiskussion auslösen könnte, die m.E. aber hier nix verloren hat, betrachte ich das Thema für mich als erledigt
if (!isset($plan)) {
$antwort1 = forum_suche($frage);
$antwort2 = google_suche($frage);
if ($antwort1 == "" && $antwort2 == "") {
$post = forum($frage);
$plan = $post;
}
}
array_push($community, $plan);
Oder noch sicherer:Ich stelle mir die Lösung so vor:
Ein Popup wird nur dann angezeigt, wenn ich das Tab aktiviere (ansehe). Ein Popup in einem inaktiven Tab kommt nicht hoch, sondern wird z. B. durch einen blinkenden Tab-Reiter angezeigt. Erst beim ansehen eines Tabs erscheint auch das zugehörige Popup.
Alle Javascript-Aktivitäten einer Seite werden eingefroren, solange sie im Hintergrund ist.
Genau das kann ich bestätigen, eine Arbeitskollegin von mir hat Angst auf der Arbeit ins Internet zu gehen, sie macht das nur wenn man ihr sagt, "Mach"Stimm. Der "Normaluser" ist damit aber überfordert und mitterweile gar verängstigt (Internet="Böööööhhhhseeee!!"
Und das zu einer Zeit, wo Computer für jeden überall verfügbar sind und kinderleicht bedienbar sein sollten...
Gut das ist jetzt ein krasses Beispiel, aber das ist die Folge so einer Panikmache..
Ich mein, einerseits ist es ja gut, wenn sich Leute damit beschäftigen und auch auf diese Fehler hinweisen, dass man drauf achtet, aber dass dann teilweise gleich der Weltuntergang prognostiziert wird, finde ich schon etwas übertrieben.
"Man muss die Welt nicht verstehen, man muss sich nur darin zurechtfinden."
Einstein
versteh ich nichtTheoretisch. Aber guck Dir zB mal das Onlinebanking der Volksbank Karlsruhe an ( Link links oben ) und versuch mal rauszukriegen, woher das Login-Popup kommt
das zertifikat besagt doch dass es richtig ist (vr-networld-ebanking verisign)
und eine 128-bit-verschlüsselung wäre viel zu aufwendig für attacken
Der Quellcode der Volksbank Karlsruhe stammt direkt von der Rechenzentrale Fiducia IT AG, Karlsruhe und ist nach deren Empfehlungen eingebunden. Aber auch hier gibt es von der Volksbank Tipps, wie man sicherstellen kann, ob das InternetBanking sicher und von der Bank selbst ist. Einfach mit dem Webmaster der Seite sprechen hilft manchmal auch weiter... Unter http://www.volksbank-karlsruhe.de/li...ernet_set.html finden sich die FAQs zum InternetBanking.
Eigentlich will ich dir gar nicht antworten. Ich wollte eine neue Frage stellen und finde einfach nicht, wo das geht!
einfach in der jeweiligen Rubrik (dort wo das Thema hinpasst) in der Übersicht auf "neues Thema", dann einen sinnigen Betreff eingeben, die Frage formulieren und ab die Post
Gruß
der Tom
Holzauge ist wachsam!
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
