Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Alle Browser mit Unterstützung für Registerkarten („Tabs“) und der Internet Explorer mit entsprechenden Erweiterungen sind für mindestens eine Spoofing-Attacke anfällig. Diese erlauben es einer boshaften Website mittels diverser Tricks, an in anderen Tabs eingegebene Daten zu gelangen.
Es hätte noch erwähnt werden sollen, dass alle Browser mit Tabs betroffen sind, also auch Opera oder der IE wenn man einen entsprechenden Aufsatz benutzt. http://www.golem.de/0410/34283.html
Es hätte noch erwähnt werden sollen, dass alle Browser mit Tabs betroffen sind, also auch Opera oder der IE wenn man einen entsprechenden Aufsatz benutzt. http://www.golem.de/0410/34283.html
Es ist das gleiche, wenn man eine Seite mit einer HTTP-Authentification in einem neuen Tab öffnet. Da wird auch die Loginaufforderung im Vordergrund angezeigt, egal in welchem Tab man gerade ist.
Eine Lücke ist es - zugegeben - aber die Auswirkungen sind meiner Meinung nach eher kosmetischer Natur.
Ich versteh jetz gar nicht das Problem an der Sache. Offensichtlich öffnet sich alle paar Sekunden ein Java-Fenster von der Secunia-Website (also jetz bei der Demo). Ist doch klar, dass wenn man da Daten eingibt diese dann auch von der gleichen Website ausgelesen werden können, weil dazu ist das Aufforderungsfenster ja auch da. Das hat aber überhaupt nix mit der Citybank-Website oder irgendeiner anderen Website zu tun sondern ist nur eine reine Übersichtssache.
Tragisch kann es werden, wenn du auf so eine Seite landest, die so eine Abrafe nach 10 min.
macht, du aber jetzt schon in einem anderen Tab bist und und diese Abrage kommt, wo du
denkst, das sie von der Site im Aktuellen Tab ist, aber von der vorheringen kommt. Evtl.
bist du auf der Site deiner Bank und schnell ist es passiert, dass Pin + Tan so gefischt werden.
Keiner hat von einem Bug geredet. Soweit ich weiss, ist ein Bug ein Softwarefehler, oder?
Freilich kann das jetzt gewollt sein, aber es ist trozdem eine Sicherheitslücke
Also es gibt genug Leute die mit den merkwürdigsten Methoden alles versuchen. Bei einem vom 10.000 haben sie dann doch vielleicht mal "Glück", dass einer drauf reinfällt. Schon gut das ganze zu wissen, aber der Login bei allenmöglichen Sites die ich besuche funktioniert nicht über Java-Fenster sondern direkte Texteingabefelder die sich auf der jeweiligen Site befinden, womit ich eigentlich niemals auf sowas reinfallen könnte (denk ich mal).
@Moonstrucker: Er schaltet die JavaScript-Funktion focus() für alle Objekte ab, damit funktioniert die zweite beschriebene Lücken in älteren Versionen von Firefox und Mozilla nicht, auch wenn die Browser sonst anfällig wären.
Durch Deaktivieren vieler solcher Funktionen, die praktisch keiner braucht und die vor allem für Schabenack verwendet werden, kann man die Sicherheit vom diesen Browsern noch enorm weiter erhöhen, weshalb es kein Wunder, daß keiner der vielen bekannt gewordenen Bugs im meinem Firefox 0.9.3 greift und ich eigentlich sogar noch mit dem 0.8er ohne Gefahr unterwegs sein könnte.
Im übrigen _ist_ es sonst ein Bug, denn ein Focus sollte sich nicht Tab-übergreifend auswirken - also wenn der Exploit ein Focus setzt, dann sollte das entweder den aktiven Tab gar nicht jucken, da der Focus Fenster-spezifisch ist, oder der aktive Tab sollte entsprechend wechseln.
