Hallo,

daß Frame-Inhalte extern geändert werden können, ist doch eigentlich eine altbekannte Tatsache, oder? Ich frage mich nur, warum eigentlich gerade jetzt so ein Wirbel darum gemacht wird. In dem Artikel auf http://www.securexpert.com/framespoof/ wird diese Tatsache so dargestellt, als ob irgendwelche "Angreifer" (attacker) den Inhalt fremder Websites *manipulieren* könnten ("The Web site could then be manipulated to confirm the attacker's message"). Tatsache ist aber, daß (nur) die Anzeige im Browser-Fenster durch ein eigenes Fenster ersetzt wird. Und das auch nur,

a) wenn diese Website nicht über den Original-Link aufgerufen wird, sondern über einen speziellen Link, der mittels JavaScript-Code die Website in einem zweiten Browser-Fenster öffnet und dann gezielt Frame-Inhalte ersetzt. Beim Aufruf dieser Website über ein Bookmark z.B. funktioniert diese Methode nicht. Oder

b) wenn die Ziel-Website in einem Browser-Fenster dargestellt wird und die Seite des "Angreifers" *gleichzeitig* in einem anderen Fenster, und wenn der "Angreifer" "weiß", daß in dem einen Browserfenster die Website geöffnet ist und den Namen des Frames kennt.

Das Problem tritt also nur dann auf, wenn man mehrere Browser-Fenster gleichzeitig geöffnet hat und nicht den Überblick darüber hat, welche Websites dort im Einzelnen geladen hat.

Soviel dazu...

(Ich frage mich nur, warum ein Schutz gegen dieses "Sicherheitsloch" auf http://www.securexpert.com/framespoof/defense.html nur gegen Geld angeboten wird.)

Gruß,
Stefan