Zur Zeit wird gefiltert nach: xss
Filter zurücksetzen

Qualität
25.05.2011
14:24

Ist der Internet Explorer 9 nun besser oder nicht?

Ich stelle diese Frage, da mir ein Kollege ein Mail schickte, mit dem Hinweis das auf einer Seite XSS (Cross Site Scripting) möglich ist.

Was ich zugeben muss, ich hätte nicht erwartet, dass dieser einfache Fall auf der getesteten Seite erfolgreich ist. Es handelt sich primär, um eine Lücke die höchstens einem Junior-Entwickler unterlaufen und bei einem Test gefunden werden sollte.

Egal, Ziel von XSS in Kombination mit anderen Angriffsszenarien ist der Benutzer der Webseite. In diesem Fall könnte ein Angreifer versuchen an Informationen im Bezug auf den elektronischen Zahlungsverkehr zu gelangen.

Aus diesem Grund werden auch immer mehr die Browser aufgerüstet. Teste ich also diesen einfachen Fall *kopfschüttel*, Sorry ich kann das einfach nicht fassen, weil es sich um einen neuen Auftritt handelt. Im Firefox erhalte ich folgende Meldung:

 

Abbildung 1
Abbildung 1 Seitenaufruf einer manipulierten Url mit dem Browser Firefox Version 4 (Standardinstallation)

Die gleiche manipulierte URL im IE 9 zeigt folgendes Resultat:

Abbildung 2
Abbildung 2 Manipulierte URL im Internet Explorer 9. Das Skript wird erkannt und blockiert (Standardinstallation)

Wie man sieht ist der "unsichere" IE in diesem Fall besser als sein Ruf und schützt den Anwender.

Aus der Skriptmeldung wird ersichtlich, es handelt sich um die Seite der SBB. Also liebe SBB, bevor eure Java-Entwicklungsabteilung ein neues Framework bauen will, um dieses Problem zu lösen. Es gibt da eine Organisation die macht sich über so etwas wirklcih Gedanken.

Die Seite mit dem Namen The Open Web Application Security Project hat sogar eine Top Ten, die im Schnitt alle 3 Jahre aktualisiert wird. Würden eure Entwickler diese Top Ten kennen, dann wäre dieser Bug nicht passiert.

Dann gibt es noch den SDL ursprünglich von Microsoft, einige Java-Entwickler müssen wohl hier mal über ihren Schatten springen und sich damit auseinander setzen. Vielleicht ist die diesjährige Jazoon ein guter Anfang. ;-)

Anderseits ist die SBB ja nicht alleine mit diesem Problem, es gibt im Projektgeschäft immer so viele Ausreden, um das Thema Secure Coding zu blocken und als Einzelner in einem Team kann man keine ausreichende Sicherheit erreichen. :-(

In dieser Hinsicht wäre die Auseinandersetzung mit OWASP und SDL schon ein sehr grosser Fortschritt, da es solche Anfänger-Fehler verhindern hilft.

Ob der IE 9 nun besser ist oder nicht, darüber kann man diskutieren. Bei diesem Szenario hat er zum Schutz des Anwenders beigetragen.

Und für den Fall, dass die Java-Entwickler nicht für die Plattform zuständig sind, ein Blick auf OWASP und den SDL schadet trotzdem nicht. ;-)

RenéweiterleitenPermalinkKommentare 0Trackback link
Tags: xss, secure code
Views: 438

Zurück

Translate this page

Kategorien

  • [-].NET Development (215)
  • [-]Datenbank (26)
  • HTML (1)
  • Konfiguration (12)
  • Mind Map (10)
  • Off-topic (9)
  • Open Source (3)
  • Qualität (7)
  • Sharepoint (6)
  • Sicherheit (2)

Archiv

Social Bookmarking

Bookmark bei: Mr. Wong Bookmark bei: Webnews Bookmark bei: Icio Bookmark bei: Oneview Bookmark bei: Linkarena Bookmark bei: Favoriten Bookmark bei: Seekxl Bookmark bei: Favit Bookmark bei: Social Bookmarking Tool Bookmark bei: Power Oldie Bookmark bei: Bookmarks.cc Bookmark bei: Newskick Bookmark bei: Newsider Bookmark bei: Linksilo Bookmark bei: Readster Bookmark bei: Folkd Bookmark bei: Yigg Bookmark bei: Digg Bookmark bei: Del.icio.us Bookmark bei: Reddit Bookmark bei: Simpy Bookmark bei: StumbleUpon Bookmark bei: Slashdot Bookmark bei: Netscape Bookmark bei: Furl Bookmark bei: Yahoo Bookmark bei: Spurl Bookmark bei: Google Bookmark bei: Blinklist Bookmark bei: Blogmarks Bookmark bei: Diigo Bookmark bei: Technorati Bookmark bei: Newsvine Bookmark bei: Blinkbits Bookmark bei: Ma.Gnolia Bookmark bei: Smarking Bookmark bei: Netvouz Information