PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Firefox 2.0 unsicher(!?)



Worka
12.05.2009, 15:49
Hallo
Ich möchte mal alle User darauf hinweisen, dass es im FF2.0 möglich ist, per JavaScript die "location.href" Eigenschaft fremder(!) Dokumente auszulesen.

Dort findet man gelegentlich SessionIDs oder "schlimmeres".

Wer als Surfer nun eine speziell vorbereitete Seite ansurft (kann man ja einfach als Forcedklick einbuchen und so möglichst viele User erreichen) der riskiert, dass diverse Informationen ausgelesen werden, welche einem Angreifer dann im schlimmsten Fall ermöglichen auf den Account des Surfers zuzugreifen.
(Bitte um Korrektur, wenn das falsch sein sollte)

Der Popupblocker des FF2.0 lässt sich auch umgehen.

Im FF3.0 und 1.5 geht das übrigens NICHT! (Bzw. nicht auf die Art wie es mir im FF2.0 gelungen ist)

maniwelt
12.05.2009, 16:39
Na ja, keiner zwingt Leute FF2 zu nutzen, eher wird allen empfohlen, auf neueste Version umzusteigen....

Lokutos
12.05.2009, 17:56
Was für n glück das ich n Update wahn hab.

@ worka

pssst* was sag ich immer im voice update deine alten sachen mal!:biggrin1:

Worka
12.05.2009, 19:52
...
@ worka

pssst* was sag ich immer im voice update deine alten sachen mal!:biggrin1:

Aber grade Version 2.0 und 1.5 sind mir doch so ans Herz gewachsen.
Aber recht hast Du natürlich, einen besseren Anlass zum Uppdate finde ich so schnell nicht.

jpwfour
12.05.2009, 20:53
Popup Blocker lassen sich derzeit in afaik jedem Browser umgehen, je nach dem, wie man "umgehen" nun definiert. (Aber ja eh keine Sicherheitslücke)

Da der FF3 nun ja auch nicht 100% sicher ist, und sich bis auf die paar noch im Netz befindlichen Seiten, die Exploits vom 2er ausnutzen, es da nicht so viele neue geben wird, wie fürn 3er, könnte u.U. der 2er oder sogar noch ältere Versionen fast sicherer sein.

Und wer Javascript aktiviert hat, hat doch eh das (imaginäre) Häkchen bei "ich will den Virus haben" angekreuzt :biggrin1:

Worka
12.05.2009, 22:48
Popup Blocker lassen sich derzeit in afaik jedem Browser umgehen, je nach dem, wie man "umgehen" nun definiert. (Aber ja eh keine Sicherheitslücke)...


Da einige Browser einem Fenster, welches der User selber geöffnet hat (dazu zählen auch gewollte Popups), Zugriff auf lokale Dateien erlauben, kann das aber ggf. durchaus zum Sicherheitsrisiko werden.

Wie es da im FF2.0 ist, weiss ich leider nicht.