Die Gefahren von Tabbed Browsing
22. Oktober 2004 von Wolfgang SommergutSicherheitsexperten sind dazu da, Gefahren und mangelhafte Software aufzuspüren. Das tun sie mit großem Eifer. Secunia will nun rausgefunden haben, dass es bedrohlich sei, mehrere Web-Seiten in einem Browser-Fenster zu öffnen. Die Rede ist von Tabs, wie sie von Mozilla oder Opera unterstützt werden.
Und hier lauert die Gefahr: Eine Seite öffnet mit zeitlicher Verzögerung ein Eingabefeld, wenn man von ihr eine andere Seite via Hyperlink in einem neuen Tab aufgerufen hat. Wechselt der Benutzer schnell genug zur neuen Seite (die sich ja standardmäßig im Hintergrund aufbaut), dann sieht es so aus, als stamme die Dialogbox vom neuen Tab. Nun muss die Dialogbox nur mehr auf plausible Weise die Eingabe sensibler Daten fordern, die dann über die wirkliche Ursprungsseite des Dialogs ins Internet übertragen werden. Hier kann man die Funktionsweise eines solchen Angriffs testen.
Natürlich wäre es besser, wenn der Browser automatisch jenen Tab in den Vordergrund schalten würde, der eine Dialogbox erzeugt. Aber für einen Sicherheitsalarm scheint mir das Risiko des Tabbed Browsing ein bisschen zu gering.
Kategorie: Web-Browser 2 Kommentare »
Ich sehe die das Risiko hier mehr beim User, anstatt der Software.
Wer seine Daten nicht unüberlegt eingibt sollte vor diesem „Bug“ gewappnet sein.
Zumal man kritische Daten sowieso niemals in einem Javascript Dialogfeld eingeben sollte
Sicherlich wäre ein Schutz, gerade für Internet Neulinge sinnvoll.
Der normale Benutzer, sollte inzwischen jedoch aufgeklärt sein und auf seine Daten achten.
Das ist für mich nicht unbedingt eine Sicherheitslücke, aber auf jeden Fall ein Usability-Problem des entsprechenden Browsers. Es macht keinen Sinn, dass die Dialogbox eines Tabs auf dem anderen Tab erscheint. Entweder muss der Browser dann zu dem entsprechenden Tab springen (wofür ich ihn sofort von der Platte schmeißen würde) oder er macht dem User kenntlich, dass dort etwas ist. Ähnlich dem Blinken in der Windows-Taskleiste.
Und @Dimitros: Der „normale“ Nutzer ist leider noch lange nicht „aufgeklärt“. Dafür müssten es entsprechende Meldungen mal in die Tagesschau schaffen.
PING:
TITLE: Tabbed Browsing ein Sicherheitsrisiko?
BLOG NAME: tomblog
Wolfgang Sommergut hat in seinem Weblog von einem Sicherheitsloch beim sogennanten „Tabbed Browsing“ (u.a. bei Opera und Mozilla) berichtet, welches Secunia herausgefunden haben will.
Öffnet man eine Seite per Link in einem neuen Tab (wird im Hinter…