[JavaScript] Sicherheitsrisiko beim Einbinden externer Scriptdateien

[ABC]

Klar;

Aber entscheident ist doch was hier drin steht:

<script src="https://layer-ads.de/la-7950-subid:4.js" type="text/javascript"></script>

Dort steht mein Code in einem Frame!

und deshalb bringts mir nichts.

Mir geht es hier nur darum, dass dann daher geredet wird, was nicht möglich ist. Denn der JS verweist auf mein Frame. Und der hat nie Zugriff auf das Content des Webmasters. Weil es eben ein untergeordnetes Frame ist.

Wenn man sich mit JS weit auseinandersetzt, lernt man schnell die Grenzen kennen. Und nun, was soll ich dann durch den JS von Layer-Ads bewirken? Nichts. Ich bleibe ja in meinem Frame drin. Und kann nicht darüber hinaus. Also bleibt es ja bei dem, dass ich auf meinem Content bleibe.

Wo soll das das Loch sein? - Darum geht es mir.

Die Lücke entsteht doch nur dort, wo ich den JS einschleichen kann. Und wenn das der Fall ist, dann hat die Lücke mit JS null, null zu tun.

 

[tleilax]

Klar;

Aber entscheident ist doch was hier drin steht:



Dort steht mein Code in einem Frame!

und deshalb bringts mir nichts.

Und woher willst Du wissen, dass das da drin steht? Der Code liegt auf einem externen Server, der nicht Dir gehört oder? Du hast keinerlei Einfluss auf die Inhalte der JS-Datei. Das hat nur der Webmaster der externen Seite, selbst wenn Du vielleicht glaubst, Du hättest ihn. Und wenn Du so leichtgläubig bist und denkst, dass da nix schlimmes drinstehen kannst, solltest Du vielleicht nochmal nachdenken. Das hat auch nix mit Frame oder so zu tun (was ich eh nicht verstehe). Am Anfang der Datei, die Du im Header einbindest, kann immer noch schädlicher Code stehen.

 

[ice-breaker]

ABC nun nochmal für dich worum es geht:
Das "Hacking" findet nicht seitens eines Sponsors statt, sondern eines Seitenbetreibers dieses Sponsornetzwerks, denn du bindest (blind?) dessen JS-Code ein. Und wer sagt dir, dass dort nicht nur der Layer erzeugt wird sondern auch die daten aus deinen Formularen ausgelesen und mittels eines Aufrufs einen unsichtbaren I-Frames als GET-Parameter übergeben werden? Und da hilft dir kein Virsenscanner/Firewall/AntiSpyware.

Die Arten der Verschlüsselung dieser Tat sindn un erstmal irrelevant, ich hoffe aber du hast nun endlich mal verstanden worum es geht, nein wir wollen keine Bank hacken.

 

[SpecialsGuy]

ABC, dein Problem es zu verstehen ist, daß du glaubst, daß der JS-Code sich wohl nicht ändern kann (durch wen oder was auch immer), der durch den Layer-Anbieter geladen wird. Wie tleilax schon sagte, wer sagt dir, daß da kein schädlicher Code in der JS-Datei selbst ausgeführt wird, noch bevor überhaupt irgendeine Werbeseite geladen wird? Das eine schließt das andere schließlich nicht aus!

@tleilax: Volltreffer, Worst-Case-Szenario ist genau das richtige Stichwort!

Und da mein Kopf gerade nur so von Ideen sprüht, poste ich mal folgendes:

[FIKTIVES WORST-CASE-SZENARIO]
Ich bin ein böser Hacker (=Cracker) und will die Welt erobern. Dazu brauche ich erstmal Geld, viiieeeel Geld
Ich bastle mir also ein kleines Tool (Virus, Spyware oder wie man es nennen will), das in der Lage ist sich in die Netzwerkkommunikation in Windows einzuklinken. Schließlich ist das eine völlig normale Funktion, die von Anwendungen mit eigenen Skins bis hin zu Antivirensoftware oder Applikationsfirewalls (wie z.B. ZoneAlarm) genutzt wird (Stichwort: Subclassing).

Jede Seite die nun im Browser geladen wird, erhält nun zwischen Server und Browser ein zusätzliches script-Tag einfügt. Dieses kann dann z.B. alle Formularinhalte aller Seiten abfangen und an jeder beliebigen Stelle im Internet hinsenden. Die Seitenbetreiber bekommen nichts davon mit und die User doch sowieso nicht. Es wird auch nirgends was geloggt und mit einem zusätzlichen Metatag kann man auch noch verhindern daß die Seite überhaupt im Cache landet.

Wenn ich ganz schlau bin, kombiniere ich das ganze sogar mit einem Freeware-Spiel oder als eigene Firefox-Erweiterung, die als Tarnung irgendeine supernützliche Funktion bietet. Oder ich infiziere die Rechner über Werbenetzwerke, wie es letztens ja schon mit einem Virus geschehen ist.

Nun wird JS zu einem unkalkulierbaren Risiko, denn der Browser und seine JS-Engine erledigt immerhin die ganze Arbeit für mich. HTTPS etc. hindert mich somit auch nicht daran, Daten von Formularen und jeder beliebigen Seite abzufangen.
[/FIKTIVES WORST-CASE-SZENARIO]

Du kannst also nicht sagen, JS kann kein Risiko darstellen. Sicher wird jemand in den meisten Fällen nicht JS allein benutzen um seine Ziele zu erreichen. Aber es wäre auch völlig falsch, es vom Rest zu trennen und zu behaupten JS ist deswegen sicher, wie du das tust.

 

[Scar]

Ich meine ich gebe hier jedem Recht, wenn jenige Recht haben will, aber meine Meinung ist dennoch anderst.

über genau diesen punkt solltest du mal nachdenken, eh du hier weiter am thema vorbei schießt. der thread ist wegen dir inzwischen eh nutzlos, weils keiner mehr nachlesen will.

das problem besteht, um die größe der seiten geht es hier nicht!

aus provokation haben hier schon soviele existierende probleme in aufsätzen niedergeschrieben, das man schon ziemlich unwissend sein muss, um genau diese beispiele zu verharmlosen.

@ community seiten, ein spezielles beispiel nur für deine eigene situation
wenn du meinst, commuity seiten sind nicht wirklich relevant für dieses thema.. was meinst du würde passieren, wenn gerade hier in dieser commuity die admin-passwörter ausspioniert werden würden? das klamm-lose-gedöns würde seinen immateriellen wert noch mehr verlieren und speziell du hättest dann vielleicht auch probleme mit deinen lose-spielen die du über lose verkaufst und dann mit diesen losen nix mehr anfangen kannst.. würde dich das etwa nicht ärgern?

 

[Icy]

Klar;

Aber entscheident ist doch was hier drin steht:



Dort steht mein Code in einem Frame!

und deshalb bringts mir nichts.

Mir geht es hier nur darum, dass dann daher geredet wird, was nicht möglich ist. Denn der JS verweist auf mein Frame. Und der hat nie Zugriff auf das Content des Webmasters. Weil es eben ein untergeordnetes Frame ist.

Wirklich?
Dann mach ich ein einfaches
top.location.href = "https://www.deinauktionshaus.phishingseite.ru/loginform.php";
oder auch
top.location.href = "https://www.konkurrenz.xy";
und dann wars mit dem Traum vom großen Geschäft

Auf einer sicherheitsrelevanten Seite gehören meiner Meinung weder von Benutzer ausfüllbare Profilformulare wo HTML möglich ist noch Javascript, die auf Seiten zeigen, wo man kein Einfluss hat, einfache Banner reichen voll aus.