nicht angemeldet
Das kompilierte Sicherheitsrisiko 9/2002
Sup!
http://www.heise.de/newsticker/data/pab-10.09.02-000/
Das kompilierte Sicherheitsrisiko ist anscheinend so schlecht programmiert, daß immer noch eine frame/iframe-Lücke offen ist, nachdem M$ schon einige Male daran herumgepatcht hat.
Da sieht man, wieviel Microsofts neue Sicherheitsinitiative wert ist ;-)
Gruesse,
Bio
-
hi
Da sieht man, wieviel Microsofts neue Sicherheitsinitiative wert ist ;-)
ohne wäre man jetzt bei 27 Löchern, so sind es "nur" 20.....4 davon in den letzten 2 Wochen!
Grüße aus Bleckede
Kai
-
Hallo,
Da sieht man, wieviel Microsofts neue Sicherheitsinitiative wert ist ;-)
ohne wäre man jetzt bei 27 Löchern, so sind es "nur" 20.....4 davon in den letzten 2 Wochen!
ist es nicht auch ein politisches Problem?
Könnte Microsoft ein doppeltes Interesse an Sicherheitsdefiziten haben,
um bessere Argumente für zentrale Kontrollen, zentrale Inhalte zu haben?
Sicherheitsrisiken als Alibi für bestimmte Massnahmen, und braucht nicht
gerade Sicherheit nach MS-Verständnis den möglichst umfassenden Zugriff
auf alle PCs, also ActiveX u.ä. Mechanismen, ohne die ein PC nach MS in
naher Zukunft gar nicht mehr bootet falls nicht "nachhause" telefoniert
worden ist?Brauchen wir nicht ganz allgemein die Stärkung dezentraler Strukturen,
ob es letztendlich um Demokratie geht oder um Wirtschaftlichkeit wie
bei kleinen Kraftwerken mit Kraftwärmekoppelung?Grüsse
Cyx23
-
Hallo,
Meun!
Cyx23
23 war doch die Zahl der Illuminaten oder? uhh... mich beschleicht ein ganz ungemütliches gefühl....
CoN. *der die "42" immernoch als antwort auf die große frage nach dem leben, dem universum und dem ganzen rest sieht*
-
Hallo,
Meun!Tach!
CoN. *der die "42" immernoch als antwort auf die große frage nach dem leben, dem universum und dem ganzen rest sieht*
Mhm, tja villeicht heißt das ja wenn M$ die 42 Schwelle erreicht werden wir Erlösung finden.... Villeicht war das ja die Frage...nach wievielen Löschern erreichen wir Erlösung von M$? ;-)
-
Hallo,
Meun!
Tach!N'abend.
CoN. *der die "42" immernoch als antwort auf die große frage nach dem leben, dem universum und dem ganzen rest sieht*
Mhm, tja villeicht heißt das ja wenn M$ die 42 Schwelle erreicht werden wir Erlösung finden.... Villeicht war das ja die Frage...nach wievielen Löschern erreichen wir Erlösung von M$? ;-)
1:2:840:113549:1:1:5
Grüsse
Cyx23
-
-
-
Hi Fans, Freaks und Verfolgungsgewahnte,
ich will auch einen Browser mit Kraft-Wärme-Kopplung.
Wo bekommt man sowas?Grüße
Chris
-
hi
ich will auch einen Browser mit Kraft-Wärme-Kopplung.
Wo bekommt man sowas?das is keine "Kraft-Wärme-Kopplung", der ist nur besser isoliert - ohne Löcher pfeift eben der Wind nicht überall rein!
Grüße aus Bleckede
Kai
-
-
-
-
Hi Bio,
also obwohl jetzt ja schon wieder ein klein wenig Schadenfreude meinen grauen Alltag versüßt, muss ich dann doch sagen:
"Dadurch könne (...) JavaScript-Code eingebunden und direkt ausgeführt werden."
Oh Mann - JavaScript-Code, der im Browser direkt ausgeführt wird - sowas hinterhältiges hab ich ja vielleicht gerade erst 10 Mio. Mal selber gecoded - und ne Anleitung dazu steht sogar in SelfHTML http://selfhtml.teamone.de/javascript/intro.htm#javascriptbereiche
"(...) um das Problem zu umgehen, sollte man "Active Scripting" in den Sicherheitseinstellungen des Internet Explorer deaktivieren."
Puh - zum Glück kann man wenigstens JavaScript ausschalten, wenn man kein JavaScript will.
Grüße,
Utz
-
Moin,
Oh Mann - JavaScript-Code, der im Browser direkt ausgeführt wird - sowas hinterhältiges hab ich ja vielleicht gerade erst 10 Mio. Mal selber gecoded
Wer zitieren kann, ist klar im Vorteil: "Nachdem eine Webseite geladen wurde, kann eine andere Domain immer noch auf die Frame-Kollektion zugreifen und die URLs der Frames verändern. Dadurch könne laut GreyMagic JavaScript-Code eingebunden und direkt ausgeführt werden."
Das Zauberwort ist hier "andere Domain". Ohne mir das näher angesehen zu haben, sieht das aus wie eine Cross Site Scripting-Lücke direkt im Browser, was nichts anderes bedeutet, als dass a) Seiten beliebige Aktionen in der Domain einer anderen Seite ausführen können (Authentifizierungscookies stehlen!) und dadurch b) das Sicherheitszonenmodell ausgehebelt wird, welches eigentlich verhindern sollte das Seiten aus dem Internet Zugriff auf lokale Dateien erhalten. Den (Microsoft-proprietären) JavaScript-Schnipsel mit dem beliebige Kommandos auf dem Rechner ausgeführt werden können, wenn er in der lokalen Zone ausgeführt wird, findest du im Archiv.
--
Henryk Plötz
Grüße von der Ostsee-
Hi Henryk,
sorry, Missverständnis: Mein Gedanke hinter meinem Posting war: Warum schreiben die von Heise so verquast, dass unbedarftere Leser denken müssen, JavaScript an sich stelle ein Sicherheitsrisiko dar? Warum schreiben sie nicht z.B.: "Dadurch könne laut GreyMagic JavaScript-Code diese Lücke in der Ausführung des Cross-Site-Security-Konzepts nutzen und z.B. Cookies auslesen oder gar Kommandos ausführen." Aber so wie sie es geschrieben haben heißt es für den, der es nicht eh schon besser weiß: Wer JavaScript in Deinem Browser ausführen kann, hat die Macht über Deinen Rechner. Und das ist so ja nun wirklich Quark.
Grüße,
Utz
-
-
-
...LOL, und ich hab mich schon gefragt, wann wieder mal das nächste "kompilierte Sicherheitsrisiko" Posting kommt :))))
$xNeTworKx.