viel spass beim testen.
http://secunia.com/multiple_browsers_frame_injection_vulnerability_test/
Mit 0.9 wurde der bug entfernt - jetzt ist er wieder drin. Einen workaround gibt es nicht
Viren, Spyware, Datenschutz 11.227 Themen, 94.390 Beiträge
fnmueller1 Mario32 „der Vollständigkeit halber:“
mir ist absolut bewusst, dass es noch nie "in the wild" aufgetaucht ist, aber du hast es erkannt - designfehler ist eben designfehler (und besonders schlimm imho wenn man den 2x einbaut, aber das nur btw).
Das Problem mit ebay (was nur ein anwendungsfall wäre - mir fallen da spontan noch mehrere andere ein) ist, dass du halt das böse script auf der gleichen domain liegen hast wie das gute und mir würde dann, obwohl ich auch drauf achte wo ein frame herkommt, der fake nicht auffallen. Das könnte man dann wunderbar mit anderen Lücken kombinieren und nen Pufferüberlauf triggern oder ähnliches. Tja und dann ist die Kacke potentiell am dampfen.
Sowas lässt sich dann auch super auf seiten der grossen webspaceanbieter machen und hat nichts mit irgendwelchen dubiosen websiten zu tun.
