viel spass beim testen.
http://secunia.com/multiple_browsers_frame_injection_vulnerability_test/
Mit 0.9 wurde der bug entfernt - jetzt ist er wieder drin. Einen workaround gibt es nicht
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
xafford 
fnmueller1 „Spoofing Attacke auf FF wieder moeglich“
... und er funktioniert im IE und im Opera und teilweise im Konqueror auch und einen Workaround gibt es auch dafür.
fnmueller1 xafford „der Vollständigkeit halber:“
also ich habs in opera getestet und bei mir gehts nicht. Tja, beim IE kann gibt es nen workaround, klar, aber beim FF wuerde mich der workaround interessieren. Ich jedenfall shabe auf http://www.mozilla.org/support/ keinen workoround gefunden und andere wohl offensichtlich auch nicht:
http://www.pcwelt.de/news/sicherheit/113073/index.html
und
http://secunia.com/advisories/15601/
Laut secunia:
"Solution:
Do not browse untrusted web sites while browsing trusted sites."
Einen workaround nenne ich sowas nicht.
GarfTermy fnmueller1 „der Vollständigkeit halber:“
"...Do not browse untrusted web sites while browsing trusted sites."
Einen workaround nenne ich sowas nicht. ..."
wieso? sollte man nicht grundsätzlich nicht vertrauenswürdige sites MEIDEN?
brain online schützt.
;-)
fnmueller1 GarfTermy „der Vollständigkeit halber:“
tja, also mit dem gleichen argument könnte ich jetzt auch jmd zu IE raten.
Klar sollte man immer brain nutzen, aber imho kann es vorkommen das man in einem Fenster (nicht tab) eine seite aufhat und in einem anderen halt ne bankseite oder ebay oder sonstwas....
Da könnte einem ein Verkäufer auch erzählen das ABS und Airbag in einem Auto unwichtig sind, denn man brauch es ja eh nur im Notfall, der bei vorsichtiger Fahrweise nicht eintreten kann.
Mario32 fnmueller1 „der Vollständigkeit halber:“
ich bin sicher kein browser experte, aber Du scheinst das nciht verhandene problem nicht zu sehen.
Ich habe eine bankseite auf, die mit frames arbeitet. im rechten frame ist das legitime login drin, aber statt dort was zu machen, klicke ich auf einen anderen link in einer anderen seite was dazuführt was in meiner grade noch legitimen seite nun der frame anders ist.
Was ist deiner Meinung nach das Problem FN?
Wer irgendwo was eingibt ohne hinzusehen auf welcher seite er ist, sollte das nicht tun dürfen!
Die Funktion eine seite in einem anderen frame zu öffnen "link eigenschaften: "fraRightFrame" ist doch legitim. Wer zwischen Bankseite und böser russischer crackerseite die bei linkklickung ggfs was an der ebenfalls geöffneten bankseitendarstellung was ändert, gelichzeitig geöffnet hin und her switcht, dem ist nicht zu helfen!
Der Artikel in der PC-Welt ist wenig objektiv. Ein einfaches rausschreien einer funktion und damit die leute scheu machen! Man könnte meinen, so supjektiv manipulierend wie der geschrieben ist, stammt der aus der Feder eines fanatischen FF-Gegners. (bisher ist der Redakteur jedoch nicht als solcher aufgefallen!) Also nur schlechte einseitige/nicht objektive/nicht ordentlich erklärende Berichterstattung in seiner Meldung diesmal!
fnmueller1 Mario32 „der Vollständigkeit halber:“
das sehe ich anders:
ich will was bei ebay ersteigern und bin eingeloggt. Währenddessen surfe ich auf anderen websites um Preise rauszusuchen und zu vergleichen, auch kann so eine Attacke direkt über eine Verkäuferseite bei ebay hinterlegt sein, so dass man wenn man auf das gefakte frame klickt einen link zu ebay sieht.
Bumms, schon hat die Falle zugeschnappt.
Mario32 fnmueller1 „der Vollständigkeit halber:“
also ich kann zwar lesen was du beschreibst aber irgendwie sehe ich nicht das Problem was du beschreibst!?? Wenn du eingelogt bist, hast du doch keine frames in DIESEM bild wo du dich ggfs erneut einloggen mußt. und wie gesagt, ein simples ansehen der eigenschaften der seite auf der ich mich befinde zeigt mir doch an das ich auf seite böser cracker bin und nicht bei gutes nickles z.b.
Aber egal. deinen grundsätzlichen standpunkt habe ich glaub ich schon verstanden. sicherheitslücken/designfehler hast du überall, und wer blind mit seinem browser durch die netzwelt klickert hat es letzlich nicht anders verdient als so billig reingelegt zu werden.
wie gesagt, der PCwelt artikel ist eher einer aus der Kategorie "es gibt einen Hype um schlagworte also schmeißen wir mal welche in den raum, obwohl das "Problem" eher eine "designfrage" ist.
CU
fnmueller1 Mario32 „der Vollständigkeit halber:“
mir ist absolut bewusst, dass es noch nie "in the wild" aufgetaucht ist, aber du hast es erkannt - designfehler ist eben designfehler (und besonders schlimm imho wenn man den 2x einbaut, aber das nur btw).
Das Problem mit ebay (was nur ein anwendungsfall wäre - mir fallen da spontan noch mehrere andere ein) ist, dass du halt das böse script auf der gleichen domain liegen hast wie das gute und mir würde dann, obwohl ich auch drauf achte wo ein frame herkommt, der fake nicht auffallen. Das könnte man dann wunderbar mit anderen Lücken kombinieren und nen Pufferüberlauf triggern oder ähnliches. Tja und dann ist die Kacke potentiell am dampfen.
Sowas lässt sich dann auch super auf seiten der grossen webspaceanbieter machen und hat nichts mit irgendwelchen dubiosen websiten zu tun.
fnmueller1 Nachtrag zu: „der Vollständigkeit halber:“
PS: bei ebay habe ich meisstens mehrer gebote gleichzeitig auf und wenn ich dann wo biete und mein pwd eingebe.....
xafford fnmueller1 „der Vollständigkeit halber:“
also ich habs in opera getestet und bei mir gehts nicht.
Soll das repräsentativ sein?
Vielleicht solltest Du Dir die Seiten auch einmal durchlesen, auf die Du verlinkst:
Please note, for this example to work in Opera, the browser has to identify itself as "Mozilla" or "Internet Explorer", because "msdn.microsoft.com" will not return the same content if Opera identifies itself as Opera.
aber beim FF wuerde mich der workaround interessieren
Dir kann geholfen werden.
Ich jedenfall shabe auf www.mozilla.org keinen workoround gefunden und andere wohl offensichtlich auch nicht
Was nicht heißt, daß es keinen gibt.
about:config → browser.link.open_external = 3 & browser.link.open_newwindow = 3
Soll das repräsentativ sein?
Vielleicht solltest Du Dir die Seiten auch einmal durchlesen, auf die Du verlinkst:
Please note, for this example to work in Opera, the browser has to identify itself as "Mozilla" or "Internet Explorer", because "msdn.microsoft.com" will not return the same content if Opera identifies itself as Opera.
aber beim FF wuerde mich der workaround interessieren
Dir kann geholfen werden.
Ich jedenfall shabe auf www.mozilla.org keinen workoround gefunden und andere wohl offensichtlich auch nicht
Was nicht heißt, daß es keinen gibt.
about:config → browser.link.open_external = 3 & browser.link.open_newwindow = 3
fnmueller1 xafford „Antwort“
@ xafford und @mario:
ich bin des englischen durchaus mächtig und habe natürlich die anweisungen befolgt.
Wenn ihr auf secunia geht seht ihr, dass opera !7.51! (aktuell ist 8.00) davon betroffen ist.
Ferner stammt dieses Remark aus einer Zeit in der MS Opera absichtlich mit falschen Daten gefüttert hat.
spez @ xafford: siehe mein posting von davor. Wenn ein mod ein sticky im offiziellem FF Forum macht, welches besagt, dass es keinen Patch /Workaround gibt, dann glaube ich ihm zuerst.
Es gibt keinen Grund sich über meine Überschrift aufzuregen, schliesslich ist das bald wörtlich übersetzt! Lasst es an anderen aus
fnmueller1 xafford „Antwort“
achja, und deine Behauptung das Probleme gebe es auch bei Opera stimmt einfach nicht:
http://secunia.com/advisories/11978/
wenn man dann auf opera 7.x klickt:
http://secunia.com/product/761/
sieht man das das Prob vor langer Zeit gepatched worden ist (wie gesagt 7.51)
und das 8.00:
http://secunia.com/product/4932/
nicht betroffen ist. und ich weiss das secunia den daraufhin getestet hat :-)
Mario32 xafford „Antwort“
Hey xaff, bei mir (Mozilla/5.0 (Windows; U; Windows NT 5.1; de-AT; rv:1.7.8) Gecko/20050511) stehen die beiden string werte drin. trotzdem habe ich msn secunia mischung!
Müßten es nicht eigentlich Integer werte sein, und wenn ja wie krieg ich die in der konfigurationsübersicht bearbeitet?
Danke!
fnmueller1 Mario32 „Antwort“
Naja, wenns beim xaff angeblich läuft scheints wohl seiner Meinung nach so represäntativ zu sein.
xafford Mario32 „Antwort“
Wieso String-Werte? Beide Parameter sollen den Integer-Wert 3 haben.
Mario32 xafford „Antwort“
Keine Ahnung warum an der Maschine hier die Einträge laut Anzeige Strings waren(ist nicht meiner), aber selbst durch Ändern in integer Werte wird der Designfehler (zumindestens an dieser Maschine hier) nicht behoben.
Nur zur Info!
fnmueller1 Nachtrag zu: „der Vollständigkeit halber:“
PS:
den gibts auch noch: http://forums.mozillazine.org/viewtopic.php?t=276111&sid=348e662e80d8b60df38dcf678765c1b0
Es gibt also de fakto keinen Workaround. Und selbst wenn es in nem nightly build drin wäre, so wäre es nicht offiziell und Ott-Normal würde es nicht runterladen
Mario32 fnmueller1 „Spoofing Attacke auf FF wieder moeglich“
und wenn du bei browsern mit frames arbeitest, kannst du doch auf die infos zum frame klicken und sehen das das geframte fenster eindeutig nicht in der url ist die oben angezeigt wird.
Eben Brain benutzen beim surfen hilft!
Wer eine bankseite öffnet um dort z.b. Daten einzutragen sollte dies eh nur auf ssl seiten tun, und bei frames besonders aufpassen.
Deine überschrift mit spoofing ist so gesehen nicht richtig, weil die seite sich klar als das identifiziert was sie ist. eine seite von wo anders! Sie "spooft" also nicht wirklich!
Und wenn du englsih kannst, FN macht es auch dein Opera: Please note, for this example to work in Opera, the browser has to identify itself as "Mozilla" or "Internet Explorer", because "msdn.microsoft.com" will not return the same content if Opera identifies itself as Opera.
