Moin!

Mittlerweile bin ich auf ein Thema gestoßen, wo in der Tat die Aktivierung von JS ein gewisses Risiko darstellt:

Bookmarklets

Kann gar nicht sein, ich schreibe grad an einem Feature-Artikel darüber, und wenn, dann sind es keine Bugs, sondern Features des Bookmarklets ;-)

Das Prinzip ist bestechend: In einem Bookmark gibt man statt eines URLs einen JS-Ausdruck an. Klickt man das Bookmark an, dann wird der JS-Ausdruck ausgeführt.

Weil dieses Prinzip bestechend ist, wird man demnächst auf Selfhtml mehr darüber lesen können.

Man kann den Effekt direkt ausprobieren, indem man z.B. folgenden Ausdruck als URL in den Browser eingibt:

javascript:alert("test")

Man kann den Effekt außerdem direkt ausprobieren, indem man diesen Ausdruck in das href-Attribut eines http://de.selfhtml.org/html/verweise/index.htm@title=Ankers packt:

<a href="javascript:alert('test')">Klick</a> oder noch subtiler:

<a href="#" onclick="javascript:alert('test')">Klick</a>

So weit, so gut.

Jepp.

Riskant wirds aber, wenn der Ausruck z.B. ein Function-Objekt erzeugt, mit Code aus dem Internet lädt und anschließend direkt ausführt.

Zumal der Autor dieses Bookmarklets dazu nur etwa 500 Zeichen zur Verfügung hat (Internet Explorer unter Windows).

Das heruntergeladene Skript wird in den Kontext der aktuellen Seite geladen und hat Zugriff auf die zugehörigen Daten. Damit wird es möglich, über einen beliebigen Internetzugriff Daten als Parameter für ein URL an einen beliebigen Server zu senden.

Allerdings muss der Benutzer dazu das Bookmarklet explizit aufrufen. Ich fände es schon ein starkes Stück, wenn es einem Cracker durch Social-Engineering gelänge, seinem Opfer das Bookmarklet unterzuschieben, ihm zu erklären, dass das Skript das Optimum aus seiner Online-Banking hole und das Opfer dann auch tatsächlich nach dem Ausfüllen des Anmeldeformulares und vor dessen Absenden das Bookmarklet aktiviert. Wer das als Cracker schafft: Respekt. Wer das als User schafft: Respekt – BTW: ich führe grad eine Brieftaschenkontrolle durch, dürfte ich mal ihr Portmonee sehen?

Ich habe jedenfalls für mich beschlossen, daß für die wenigen Gelegenheiten, in denen ich per PIN/TAN auf meine Bankkonten zugreifen muß, eine VMware-5-Maschine mit Linux eingerichtet wird, die für Bankingsessions geklont wird, um sicher zu gehen, daß immer mit einem jungfräulichen Betriebssystem gearbeitet wird. (Das ist erfreulicherweise ein Feature von VMware Workstation 5.)

Wieviel Geld bekommst du für die VMware-Promo hier im Forum? Außerdem bist du damit immer noch nicht sicher davor, dass dir ein böser Zeitgenosse _vor_ dem Besuch deiner Online-Bank ein Bookmarklet schmackhaft macht, mit dem Hinweis, du mögest es aus *säusel* …-Gründen vor dem Absenden deiner PIN/TAN ausführen. Eine Virtualisierungslösung sorgt lediglich dafür, dass nach dem nächsten Start das Bookmarklet nicht mehr existiert, aber dann ist dein Konto eh schon leer >:->

Ansonsten: NUR HBCI MIT KLASSE-3 CHIPKARTENLESER!

Ändert das wirklich etwas an der beschriebenen Problematik? Die Welt ist schlecht!

OT: Funktionieren solche Chipkartenleser auch mit richtigen Betriebssystemen™ (Linux, BSD, Mac OS X)?

Viele Grüße,
Robert