JavaScript-Terror in einem Forum
Fredi
- javascript
Hallo und Guten Abend!
Ich bin registrierter User in einem Forum (für Singles ;-) ).
Seit einigen Tagen nervt jemand mit JavaScript die User -
Seiten schliessen sich -
man wird auf andere Seiten umgeleitet -
na ja, und so weiter...
Hier nun meine Frage:
Ein Bekannter von mir hat behauptet, man kann, ebenfalls mit
JS, den Knaben "überführen"...
Bin kein Profi - ganz und gar nicht -, aber ich sage,
das geht nicht!
oder irre ich mich?
Danke schon mal im Voraus für eventuelle Hilfe!!!
Ps: Die Forumsadministration dort ist scheinbar auf Urlaub...
Hola,
Ein Bekannter von mir hat behauptet, man kann, ebenfalls mit
JS, den Knaben "überführen"...
Bin kein Profi - ganz und gar nicht -, aber ich sage,
das geht nicht!
oder irre ich mich?
Ich glaube auch, dass es nicht geht, weil Javascript keine Daten irgendwie abspeichern kann und dadurch vielleicht Userdaten protkollieren könnte usw.
Ich frage mich aber, wie man so nachlässig sein kann, und in einem Forum HTML zulassen kann? Es ist ja immer nur eine Frage der Zeit, bis jmd. damit böse Sachen treibt.
Markus Trusk.
Ich glaube auch, dass es nicht geht, weil Javascript keine Daten irgendwie abspeichern kann und dadurch vielleicht Userdaten protkollieren könnte usw.
Eben, also lag ich scheinbar doch richtig...
Ist es denn überhaupt möglich - mit welchem Programm auch immer -
Aus einem Forum, Daten anderer User "auszulesen"?
doch nicht, oder?
Fredi
Hi,
Ist es denn überhaupt möglich - mit welchem Programm auch immer -
Aus einem Forum, Daten anderer User "auszulesen"?
doch nicht, oder?
Jein.
Das hängt vom Forum ab.
Das Javascript stammt vom Angreifer, läuft beim Benutzer und wird vom Forumsserver geliefert. (Das heißt, dass es nur auf die Daten zugreifen kann, die auch der Forumsserver kennt. Da sind aber evtl. interesannte Dinge für den Angreifer drunter.)
Funktioniert die Anmeldung (Username und Passwort) bei dem Forum mittels Sessions (Cookie oder per URL) dann kann das Javascript auf diese Daten zugreifen und sie an einen beliebigen anderen Server im Internet übertragen.
Mit diesen Daten ist es dann möglich diese Session von einem anderen Rechner (typischerweise von dem des Angreifers) aus zu benutzen. Der Angreifer 'klaut' dir sozusagen deine Anmeldung beim Forumsserver.
Funktioniert die Anmeldung mit HTTP-Auth (wie hier im Forum z.b.) dann geht _das_ jedoch nicht.
Gruss,
Carsten
hey du!
Funktioniert die Anmeldung (Username und Passwort) bei dem Forum mittels Sessions (Cookie oder per URL) dann kann das Javascript auf diese Daten zugreifen und sie an einen beliebigen anderen Server im Internet übertragen.
Funktioniert die Anmeldung mit HTTP-Auth (wie hier im Forum z.b.) dann geht _das_ jedoch nicht.
Gruss,
Carsten
pfff, ich tippe auf cookies, aber genau weiß ich es nicht ;-(
und HTTP-Auth sagt mir leider überhaupt nichts...
Trotzdem danke für die interessante Antwort!
Fredi