 |
 |
 |
 |
 |
 |
 |
 | ||
 |
 |
|
|
|
|
|
|
|
| ||
|
|
 |
 |
|
|
|||||
 |
|
| Thema gelesen: 640 x | Antworten: 2 | online: 0 | Themen Tools | durchsuchen | Anzeige Modus |
|
09.11.2001, 17:57
#1
|
|
|
Cheiromanin
 
Dabei seit: 16 Sep 2001
Ort: Meer der Emotionen
Beiträge: 15.718
|
Achtung Cookie Diebe !!
Cookie-Diebe
09.11.2001 Microsoft warnt in seinem neuesten Security Bulletin vor einer neuen Sicherheitslücke im Microsoft Internet Explorer. Mit Hilfe eines kleinen Tricks können Cookie-Informationen gelesen und sogar verändert werden. http://www.microsoft.com/technet/tr...ault.asp?url=/t echnet/security/bulletin/MS01-055.asp Von dem Fehler betroffen sind die Versionen 5,5 und 6.0 des MSIE. Ein Patch steht derzeit noch nicht zur Verfügung, daher wird empfohlen, die Ausführung von Scripten im MSIE zu deaktivieren. Der Fehler wurde von dem Finnen Jouko Pynnonen entdeckt und in BugTraq veröffentlicht. Ein Lesen und Bearbeiten wird dadurch möglich, dass der MSIE nach der Eingabe von "about:" auch HTML-Code und Java-Script Anweisungen ausführt. Wird in dem About-URL eine Adresse und eine Script-Anweisung formuliert, so wird der Inhalt des unter dieser Adresse vergebenen Cookies ausgelesen. Pynnonen hält es für denkbar, dass Angreifer über ein Redirect solche URLs zum Aufruf bringen. Er hat eine Test-Site eingerichtet, auf dieser Fehler und die Anfälligkeit des Browsers getestet werden kann. http://www.solutions.fi/index.cgi/extra_iebug?lang=eng Microsoft stuft den Fehler als "sehr ernst" ein. Und das dürfte auch zutreffen, denn Cookies können sehr wichtige Informationen beinhalten und werden mittlerweile gerade auf eCommerce- und Banking-Sites sehr häufig eingesetzt. Aus Internet Intern www.intern.de ------------------  Pacifica Moderatorin in der FREEST  LE  Community |
| Für Inhalt und Rechtmäßigkeit dieses Beitrags trägt der Verfasser Pacifica die alleinige Verantwortung. (s. Haftungshinweis) | |
|
|
 |
 |
|
09.11.2001, 23:27
#2
|
|
|
Administrator
 
Dabei seit: 03 Feb 2000
Ort: Deutschland, 32549 - Bad Oeynhausen
Beiträge: 1.626
|
Ich weiß, warum ich mit Nescape unterwegs bin
 Gruß imagine ------------------ Administration - FTOR.de  Kontakt/ Impressum |
| Für Inhalt und Rechtmäßigkeit dieses Beitrags trägt der Verfasser imagine die alleinige Verantwortung. (s. Haftungshinweis) | |
|
|
|
|
|
|
10.11.2001, 00:44
#3
|
|
|
Lord of the MS-DOS
Dabei seit: 08 Sep 2001
Ort: PC
Beiträge: 1.249
|
Hi!
Ein solcher Bug ist sicher nicht unter den Teppich zu kehren und muss unbedingt beseitigt werden. Allerdings halte ich die 'Einstufung' für reine Panikmache. Die Anfrage an ein Cookie muss schon sehr speziell sein; ein Versuch, über diese Methode an Nutzerdaten zu gelangen muss zielgerichtet sein und kann unter normalen Bedingungen gar nicht praktikabel eingesetzt werden. Das Opfer müsste ein bestimmte Homepage besuchen, ohne zu merken, dass im Hintergrund ein bestimmtes Cookie gesucht wird. Die dabei hinterlassenen Spuren würden den Tätern das Genick brechen. Und, was noch viel wesentlicher ist: Eine seriöse Bank oder ein eCommerce-Unternehmen wird niemals Benutzerdaten in einem Cookie abspeichern! Das ist von vornherein viel zu riskant! In einem Forum o.ä. ist das anders - da geht's nicht um Geld. Der Aufwand solche Zugangsdaten zu knacken würde sich gar nicht lohnen. Grüße, Mr. Anderson PS: Bei meinen Cookies ist der Test bisher negativ ausgefallen. ------------------ Moderator in der FREEST LE Community[Dieser Beitrag wurde von Mr. Anderson am 10.11.2001, 12:47 AM editiert.] |
| Für Inhalt und Rechtmäßigkeit dieses Beitrags trägt der Verfasser MrAnderson die alleinige Verantwortung. (s. Haftungshinweis) | |
|
|
|
|
|
Linear Modus
