[JavaScript] Sicherheitsrisiko beim Einbinden externer Scriptdateien

[Scar]

Ein Blick ins Protokoll gibt dem Webmaster noch die schöne Get Abfrage. Sory damit kann man nur Kindergarten ausspionieren.

man mags kaum glauben, aber je nach detaillierung von besucherstatistiken, kann auf diese weise der zugang zu eben dieser statistik ausspioniert werden. indirekt sind damit wieder andere daten betroffen, evt die login daten die an mehreren stellen verwendet werden.
speziell diesen fall, angriff, gibt es!

das zusätzliche übergeben von js-code als GET parameter, kann also wirklich zu problemen führen!


* offtopic *
bleibt mal nen bissel lockerer. wenn man das liest, fühlt man sich sonst wie im krieg

 

[MrToiz]

Sory hast echt kein Plan. Und das Ufo holt dir die Daten vom FreeSpace. Schöne Theorie. Weist du was ein Bot ist. Das ist erst dann ein Bot, wenn du das Serverprotokoll vernichtgen kannst. Mach das mall mit deinem tollen Javascript.

Nö, auf dem FreeSpace liegt ein Script dass mir die Daten in eine DB einträgt/per E-Mail (an eine anonyme Adresse) schickt, und um mir die Daten anzusehen gehe ich immer ins Internetcafe.

Man echt, ich sags dir nur nochmal. Ich habe auch 4 Möchtegern Bots gehabt, und man hat mich zurückverfolgen können. Da kannst du 95 Freespaces nehmen.

Selbst schuld würde ich mal sagen. Wer hacken/phishen/whatever will sollte schon wissen, wie er/sie/es seine Identität verschleiert.
Außerdem werden Banken bei zig leergeräumten Konten wohl sicherlich mehr Aufwand betreiben um den Täter zu finden, als irgendeine andere Seite mit deren Hilfe du E-Mail-Accounts gehackt hast etc.

 

[LasMiranda]

...Selbst schuld würde ich mal sagen. Wer hacken/phishen/whatever will sollte schon wissen, wie er/sie/es seine Identität verschleiert....

ich hab gehört, die nehmen alle nen IE, OE oder Outlook und (selbstverständlich) Norton, damit die bösen anderen "Hacker" den "Oberhacker" nicht "hacken"

evtl. ist da *etwas* Ironie drin versteckt

EDIT: ich komm da grad etwas vom Thema ab, glaube ich sorry dafür. War auch das einzigste Mal

 

[ABC]

Nö, auf dem FreeSpace liegt ein Script dass mir die Daten in eine DB einträgt/per E-Mail (an eine anonyme Adresse) schickt, und um mir die Daten anzusehen gehe ich immer ins Internetcafe.


Selbst schuld würde ich mal sagen. Wer hacken/phishen/whatever will sollte schon wissen, wie er/sie/es seine Identität verschleiert.
Außerdem werden Banken bei zig leergeräumten Konten wohl sicherlich mehr Aufwand betreiben um den Täter zu finden, als irgendeine andere Seite mit deren Hilfe du E-Mail-Accounts gehackt hast etc.

Genau richtig! Jetzt sind wir wieder gleicher Meinung. Das was du also ausspinoeren kannst, das sind irgendwelche Community Passwörtchen. Und was kannst du dir von kaufen? Garnichts. Genau um das geht es mir. Wow ich habe ein 0815 Script gehackt. Das hört sich eben bei mir an, als würde ich üben.

Die Aufklärungsquote ist übelst Hoch. Nur die Beweislage ist immer schlecht. Aber die warten da nur drauf, bis du ein Fehler machst. Das kannst du mir glauben.

Und das größte Problem. Du wirst nicht merken, wann du aufgeflogen bist, bis die Beamten deinen Rechner abtransportieren.

In einen guten Code, wirst du deinen JS Fussel garnicht mal herein bekommen. Das ist also keine JS Lücke, sondern eine Lücke von der Webseite selbst.

 

[MrToiz]

Genau richtig! Jetzt sind wir wieder gleicher Meinung. Das was du also ausspinoeren kannst, das sind irgendwelche Community Passwörtchen. Und was kannst du dir von kaufen? Garnichts. Genau um das geht es mir. Wow ich habe ein 0815 Script gehackt. Das hört sich eben bei mir an, als würde ich üben.

OK, wenn wir jetzt so weit sind, dass wir wissen wovon der andere redet, kann es ja weitergehen:
Stelle dir nun vor, ich wäre der Betreiber eines Werbenetzwerkes wie z.B. Adtech. Nun schaltet Adtech u.a. hier bei klamm Banner, und wie werden die eingebunden? Richtig, per externem JS von adtech.de.
Nun habe ich also die einmalige Gelegenheit, JS-Code auf klamm.de ausführen zu können. So weit, so gut. Will nun ein User sein Profil ändern, wird mein Script hellhörig. Mit Klick auf den "Änderungen übernehmen"-Button wird das Klamm-PW codiert, an mich übermittelt und schon kann ich damit tun, was ich will!
Oder sollen wir noch weiter gehen? Will der User sein SMS/EF-Guthaben aufladen, baue ich ein Formular ein, in dem er seine Kreditkartendaten eingeben soll. Klingt gut, denn schließlich will er ja etwas einzahlen. Um das ganze etwas geheimer zu halten, bringe ich nach dem Absenden die Meldung, dieses Feature wäre noch nicht implementiert oder es wäre ein Fehler aufgetreten, und schon habe ich Kreditkartendaten von zig dummen Usern, die dem klamm.de in der Adresszeile blind vertrauten (oder noch besser: Sie waren sogar per HTTPS unterwegs und wägten sich in Sicherheit).

Um deine Argumente vorwegzugreifen: In diesem Fall wäre es recht einfach festzustellen, wer dahintersteckt, aber stell dir vor, klamm würde jeden x-beliebigen Werbevermarkter einbinden!

Auch muss es nicht immer direkt um Geld/Lose/... gehen, es reicht auch die auf klamm hinterlegten Userdaten auszulesen und zu veruntreuen, damit lässt sich auch Geld verdienen und es ist nicht ganz so auffällig wie ein Kreditkarten-Formular
Ich z.B. habe auf klamm meine komplette Anschrift samt Handynummer und und und hinterlegt, was meinst du, was dubiose Firmen dafür zahlen würden?

edit:

In einen guten Code, wirst du deinen JS Fussel garnicht mal herein bekommen. Das ist also keine JS Lücke, sondern eine Lücke von der Webseite selbst.

Siehe 1. Post in diesem Thread:

Ich habe grad beim Rumtüfteln gemerkt, wie vielseitig die Möglichkeiten sind, wenn man erstmal einen Webmaster dazu bringt, eine externe Javascriptdatei auf seinen Seiten einzusetzen. Kaum einer guckt sich doch vermutlich an, was in den Javascriptdateien drin steht, solange alles ordnungsgemäß funktioniert.

(Markierung von mir)
Es geht nicht drum, die Seite mit dem JS zu hacken, sondern bereitwillig vergebene Rechte zu missbrauchen (also statt nur Werbebanner einzublenden "nebenbei" noch die Daten ausspähen).

Gruß,
MrToiz

 

[ABC]

OK, wenn wir jetzt so weit sind, dass wir wissen wovon der andere redet, kann es ja weitergehen:
Stelle dir nun vor, ich wäre der Betreiber eines Werbenetzwerkes wie z.B. Adtech. Nun schaltet Adtech u.a. hier bei klamm Banner, und wie werden die eingebunden? Richtig, per externem JS von adtech.de.
Nun habe ich also die einmalige Gelegenheit, JS-Code auf klamm.de ausführen zu können. So weit, so gut. Will nun ein User sein Profil ändern, wird mein Script hellhörig. Mit Klick auf den "Änderungen übernehmen"-Button wird das Klamm-PW codiert, an mich übermittelt und schon kann ich damit tun, was ich will!
Oder sollen wir noch weiter gehen? Will der User sein SMS/EF-Guthaben aufladen, baue ich ein Formular ein, in dem er seine Kreditkartendaten eingeben soll. Klingt gut, denn schließlich will er ja etwas einzahlen. Um das ganze etwas geheimer zu halten, bringe ich nach dem Absenden die Meldung, dieses Feature wäre noch nicht implementiert oder es wäre ein Fehler aufgetreten, und schon habe ich Kreditkartendaten von zig dummen Usern, die dem klamm.de in der Adresszeile blind vertrauten (oder noch besser: Sie waren sogar per HTTPS unterwegs und wägten sich in Sicherheit).

Ich arbeite auch in einer Firma. Frag dich im Forum rum. Jede dieser Daten werden kontrolliert. Den wenn sowas über so eine Firma passiert, dann bedeutet es das Aus für diese Firma. Dort wird und muss der Inhalt manuell geprüft werden.

Bei uns ist es beispielweise verboten, Nummer auszutauschen. Da gibt es Kasper die schreiben es in Worten oder verschlüsselt aus. Genau deshalb und aus gerade phisihing Gründen muss eine Frima die Inhalte prüfen.

Ich muss wenn ich was geprüft habe meinen digitalen Otto setzen. Wenn das was durch geht, was nicht sein darf, bin ich dafür verantwortlich. Deshalb nochmals. Du verwechselst Free Community mit Unternehmen.

Ein Unternehmen schützt sich. Du darfst dir eine Frima nicht automtisiert vorstellen. Das wichtige wird 100% geprüft. Gut bei WML prüft keiner die Codes. Aber bei einem richtigen Sponsor, kannst du darauf wetten! Und dort hast du dich per

HTTPS angemeldet
Und hast per Bank Guthaben eingezahlt

Das bedeutet du hast dein eigenes Grab geschaufelt. Wer so dumm ist, dem ghörts auch nicht anderst.

Oder meinst du ein Sponsort prüft das nicht? Was meinst du wenn alleine eine ilegale Webrung auftauchen würde, was der Sponsor für Ärger bekommt, weil er sowas freischaltet. Das leistet sich ein Unternehmen 1-2 Mal. Die müssen schon allein aus den Gründen prüfen. Du hast dort also 0 Chanche!

 

[burnred]

Wer redet hier eigentlich von Unternehmen oder gar Banken... es sind doch gerade die kleinen Community Seiten um die es hier geht.

 

[ice-breaker]

wer redet denn davon das der böse code von anfang an drinne steht? so dumm ist ja niemand. nehm mal an das nach 2 Wochen eine Option aktiviert wird, dass bei allen 100 oder 1000 aufrufen der böse code anspringt

 

[ABC]

wer redet denn davon das der böse code von anfang an drinne steht? so dumm ist ja niemand. nehm mal an das nach 2 Wochen eine Option aktiviert wird, dass bei allen 100 oder 1000 aufrufen der böse code anspringt

Und wie willst du ihn nachträglich reinbekommen? Achso im Iframe/Frame.

Cool seite neuestem kann man von einem Untergeordnetem Frame auf ein übergeordentes zugreifen. Oder nochbesser. Javascript ist in der Lage von Seite https://www.B.de nach https://www.C.de zu transportieren.

lächerlich.

Ihr schiebt Lücken von PHP auf Javascript ab. Das ist nicht okay, und überhaupt nicht argumentiert, sondern nur dahin geredet, was tehoretisch machbar ist. Hat keiner von euch ein gute JS Buch zu haue, und liest mal was über Frames? Ausserdem wo Linkt den der Sponsor hin? Erstmal auf seine eigene Seite, um die klicks zu werden. Und das was per Layer eingebunden wird ist nur der Code vom Sponosr. Darüber hinaus, werdet ihr über ein Frame des Sponsors geladen (in das Layer herein) soweit muss man sich erstmal informieren, bevor man planlos was daher schwallt.

Euer Code wird dann wieder nur bei euch selbst ausgeführt. Bzw, vom Contetn auf dem der Code inteplemenitert wurde. Du kommst da also nicht drum herum.

Es gibt keinen Sponsor, der euern LAyercode aufnimmt. Ihr könnt nur einer URL angeben. Wenn man mal gebucht hat, weis man das, und redet nicht einfach daher. Diese URL wird über ein Frame geladen. Und das wars, denn das Frame wird über des Sponsorseite abgerufen und hat so gar kein Zugriff auf die Seite des Webmasters.

Das einzige was Zugriff findet, ist der Code des Sponsors. Und der wiederum beinhaltet nur einen Frame mit eurer URL, und alles was der Sponsort proggt. Schon allein die Aussagen sind Wahnvorstellungen.

Und wenn da ein Sponsor pfuscht ist hier schon garnicht JS verantwortlich, sondern der Code des Sponsores, der meist in PHP geschlampert hat. Aber die Aussagen hier sind absurt.

Das hat nichts mit beleidgung zu tun, oder das ich hier jemanden schlcht stellen will. Man muss nur erst wissen, wie etwas funktioniert.

Überall dotz wo ihr ein JS einschleichen könnt, stellt es eine Gefahr dar! JEP! JEP JEP! Aber die GEfahre kommt von dem Code, der das einschleichen zulässt. Der Javascript ist schuldlos an der Misere.

 

[SpecialsGuy]

ABC, du hast meine Vermutung bestätigt, daß es nur eine Frage der Zeit ist, bis man sich in diesem Thread amüsieren kann

Weißt du was ein Lamer ist?

Du bist sicher auch einer von denen, die glauben, eine Firewall schützt dich vor Viren, richtig? Sorry, ich will dich nicht beleidigen, aber deine Aussagen sind teilweise so unqualifiziert und lückenhaft, daß es nur vermuten lässt, daß du nun mal kein wirkliches technisches Hintergrundwissen hast! Ich wette mit dir, du kannst mir sicherlich nicht mal den Unterschied zwischen einem Proxy und einem anonymen Socks-Proxy beschreiben, geschweige denn was ein Socks Chain ist oder gar wie man es bewerkstelligt (erst recht nicht ohne Zuhilfenahme fremder Tools!).

Wenn du wirklich der Meinung bist, daß ja eh jeder erwischt wird und daß es sich nicht lohnt, dann erkläre mir mal, wieso Viren bis heute nicht erfolgreich bekämpft werden können; wieso User ihre PC's immer wieder unabsichtlich ihre Rechner verseuchen, indem sie z.B. Anhänge öffnen; wieso Spyware in solch einem Mass zum Einsatz kommt; wieso User sogar "bösen" Serialsseiten u.ä. voll vertrauen und jede Meldung einfach mal so bestätigen; wieso jeder User weiß, was es mit dem Sicherheitssymbol im Browser auf sich hat und auch darauf achtet (ironie); wieso User ständig Schäden erleiden durch Phishingangriffe; wieso Webmaster unfehlbar sind und noch nie z.B. vertrauliche Kreditkartendaten in falsche Hände gekommen sind (das war ironisch *g*); wieso Spammern bis heute nicht das Handwerk gelegt werden konnte; wieso ein solches Trara darum gemacht wird, wenn z.B. eBay's Sicherheit genau aus dem hier diskutierten Grund gefährdet war; wieso z.B. bei eBay tausende User Schäden durch geknackte Accounts erlitten haben und die Täter teilweise bis heute nicht gefasst wurden; wieso ... ; wieso ... ... ... ...

Dein Übervertrauen in die Software ist übrigens genau das, was dich angreifbar macht! Und wenn du mir erzählst, daß du dachtest ein Internetcafe bewahrt dich vor einer Rückverfolgung und somit der Verhaftung, dann HAST DU KEINE Ahnung! Aber einen Lamer davon zu überzeugen ist so gut wie unmöglich

In einem gebe ich dir aber Recht. Wenn man keine Ahnung hat (und damit meine ich richtige tiefergehende Ahnung inkl. Kenntnis der technischen Hintergrunddetails) sollte man die Finger davon lassen, denn du wirst dann ganz sicher erwischt werden.

Eigentlich sollte man auch die Finger davon lassen, wenn man wirklich voll die Ahnung davon hat - schließlich ist ja auch nicht gleich jeder kriminell, der sich mit sowas auskennt. Deswegen unterscheidet man ja auch zwischen Hacker und Cracker (dessen Unterschied ja von der Öffentlichkeit sonst gerne übersehen wird).

 

[ABC]

ABC, du hast meine Vermutung bestätigt, daß es nur eine Frage der Zeit ist, bis man sich in diesem Thread amüsieren kann

Weißt du was ein Lamer ist?

Du bist sicher auch einer von denen, die glauben, eine Firewall schützt dich vor Viren, richtig? Sorry, ich will dich nicht beleidigen, aber deine Aussagen sind teilweise so unqualifiziert und lückenhaft, daß es nur vermuten lässt, daß du nun mal kein wirkliches technisches Hintergrundwissen hast! Ich wette mit dir, du kannst mir sicherlich nicht mal den Unterschied zwischen einem Proxy und einem anonymen Socks-Proxy beschreiben, geschweige denn was ein Socks Chain ist oder gar wie man es bewerkstelligt (erst recht nicht ohne Zuhilfenahme fremder Tools!).

Wenn du wirklich der Meinung bist, daß ja eh jeder erwischt wird und daß es sich nicht lohnt, dann erkläre mir mal, wieso Viren bis heute nicht erfolgreich bekämpft werden können; wieso User ihre PC's immer wieder unabsichtlich ihre Rechner verseuchen, indem sie z.B. Anhänge öffnen; wieso Spyware in solch einem Mass zum Einsatz kommt; wieso User sogar "bösen" Serialsseiten u.ä. voll vertrauen und jede Meldung einfach mal so bestätigen; wieso jeder User weiß, was es mit dem Sicherheitssymbol im Browser auf sich hat und auch darauf achtet (ironie); wieso User ständig Schäden erleiden durch Phishingangriffe; wieso Webmaster unfehlbar sind und noch nie z.B. vertrauliche Kreditkartendaten in falsche Hände gekommen sind (das war ironisch *g*); wieso Spammern bis heute nicht das Handwerk gelegt werden konnte; wieso ein solches Trara darum gemacht wird, wenn z.B. eBay's Sicherheit genau aus dem hier diskutierten Grund gefährdet war; wieso z.B. bei eBay tausende User Schäden durch geknackte Accounts erlitten haben und die Täter teilweise bis heute nicht gefasst wurden; wieso ... ; wieso ... ... ... ...

Dein Übervertrauen in die Software ist übrigens genau das, was dich angreifbar macht! Und wenn du mir erzählst, daß du dachtest ein Internetcafe bewahrt dich vor einer Rückverfolgung und somit der Verhaftung, dann HAST DU KEINE Ahnung! Aber einen Lamer davon zu überzeugen ist so gut wie unmöglich

In einem gebe ich dir aber Recht. Wenn man keine Ahnung hat (und damit meine ich richtige tiefergehende Ahnung inkl. Kenntnis der technischen Hintergrunddetails) sollte man die Finger davon lassen, denn du wirst dann ganz sicher erwischt werden.

Eigentlich sollte man auch die Finger davon lassen, wenn man wirklich voll die Ahnung davon hat - schließlich ist ja auch nicht gleich jeder kriminell, der sich mit sowas auskennt. Deswegen unterscheidet man ja auch zwischen Hacker und Cracker (dessen Unterschied ja von der Öffentlichkeit sonst gerne übersehen wird).

Ist doch toll wenn du dich schon amysierst Wird der Sonntag nicht stressig. Ich hab auch so meinen Spass daran gefunden.

Ich meine ich gebe hier jedem Recht, wenn jenige Recht haben will, aber meine Meinung ist dennoch anderst.

Dein Übervertrauen in die Software ist übrigens genau das, was dich angreifbar macht! Und wenn du mir erzählst, daß du dachtest ein Internetcafe bewahrt dich vor einer Rückverfolgung und somit der Verhaftung, dann HAST DU KEINE Ahnung! Aber einen Lamer davon zu überzeugen ist so gut wie unmöglich

Ist genau richtig. Ich habe es auch nicht nötig jemanden zu überzeugen. Du musst es ja kennen, - über sowas redet man nicht... Also tue dir kein Drang an, ich weis was ich für mich wissen muss.

Aber wenn du überzeugt bist, mit einem 0815 wie hier beschireben an einen schönen Crack zu glauben, dann hast du mich bereits in deiner Fähigkeit überzeugt!

 

[SpecialsGuy]

Ein Unternehmen schützt sich. Du darfst dir eine Frima nicht automtisiert vorstellen. Das wichtige wird 100% geprüft.

LOOOOOOL!

Da habe ich aber ganz andere Erfahrungen gemacht

btw, da fällt mir ein Artikel ein, den ich gestern gelesen habe:

https://www.intern.de/neue_meldungen/zustellungsprobleme_199.html

Und jetzt sag mir nochmal, die Mitarbeiter eines Unternehmens wissen, wie sie mit Daten sicher und verantwortungsvoll umgehen müssen und würden entsprechenden Onlinetechnologien nicht blindlinks vertrauen.

 

[ABC]

LOOOOOOL!

Da habe ich aber ganz andere Erfahrungen gemacht

btw, da fällt mir ein Artikel ein, den ich gestern gelesen habe:

https://www.intern.de/neue_meldungen/zustellungsprobleme_199.html

Und jetzt sag mir nochmal, die Mitarbeiter eines Unternehmens wissen, wie sie mit Daten sicher und verantwortungsvoll umgehen müssen und würden entsprechenden Onlinetechnologien nicht blindlinks vertrauen.

Klar sag ich dir, wenn du mir erklärst, was das mit JS zu tun hat. Denn richtig lesen muss man doch über Nach behalten könne. Hast du das Thema schon vergessen?

 

[SpecialsGuy]

Ist doch toll wenn du dich schon amysierst Wird der Sonntag nicht stressig. Ich hab auch so meinen Spass daran gefunden.

Ich meine ich gebe hier jedem Recht, wenn jenige Recht haben will, aber meine Meinung ist dennoch anderst.

Ich finde es nur witzig, daß du auf meinem Beitrag mit keinem Wort eingegangen bist. Das bestätigt lediglich meine Vermutung.

Ach übrigens, ein Hacker braucht sich nicht zu fürchten, erwischt zu werden, (das war doch deine Aussage?), er begeht nichts illegales
Nachhilfeunterricht gefälligst?
https://koeln.ccc.de/prozesse/writing/artikel/hacker-werden.xml

 

[ABC]

Ich finde es nur witzig, daß du auf meinem Beitrag mit keinem Wort eingegangen bist. Das bestätigt lediglich meine Vermutung.

Ach übrigens, ein Hacker braucht sich nicht zu fürchten, erwischt zu werden, (das war doch deine Aussage?), er begeht nichts illegales
Nachhilfeunterricht gefälligst?
https://koeln.ccc.de/prozesse/writing/artikel/hacker-werden.xml

Wow jetzt weist du ja, dass ein Hacker ja nicht böses ist! Meine Achtung! - Der erste Punkt.

Nur das Hauptvolk versteht sonst nicht worum es geht! - Erklärung!

EDIT: Jo und jetzt lachst du, da lache ich gerne mit. Welch ein Fachwissen, aber mit Javascript hackst du ja eine Bank. Viel Erfolg. Verstehe mich nicht flasch, aber ich hab schon Bauchkrämpfe. Ich gebe auch dir gerne Recht, weil du es doch so unbedingt haben magst. Na bitte. Ich habe mein sauber funktionierendes Gehrin, und bleibe bei meiner Meinung.

Weil das Volk schreit "es wird licht" schrei ich nur mit, wenn es licht wird. Oder weist du nicht was das palscke Gelichnis ist? - sicherleich nicht, denn sonst würdest du das nicht posten. Oder? Kann ja sein ich lieg falsch, aber ich denke nun mal so.

Aber deshalb wir bei mir mit JS nichts gefährliches geahndet... auch dann nicht, wenn du diese Meinung teilst. Wobei nochmal, ich gebe dir gerne Recht. Daran soll es mir nicht liegen. Damit bestätige ich dich auf gerne und trete ab. Nur mein Wissen sagt mir was anderes. Und diese Meinung ist meine eigene. Dazu brauche ich nicht auf Wikipedia zu verweisen.

 

[SpecialsGuy]

Klar sag ich dir, wenn du mir erklärst, was das mit JS zu tun hat. Denn richtig lesen muss man doch über Nach behalten könne. Hast du das Thema schon vergessen?

Das hat eine Menge damit zu tun, denn die Naivität und das Vertrauen vieler User als auch vieler Webmaster ist der Grundstock auf dem heute Viren, Spyware, Cracks und erst recht Phishing basieren. Man kann JS nicht allein betrachten, sondern muss es im Zusammenhang mit den Sachen tun, die ebenfalls eine Rolle spielen.

 

[ABC]

Das hat eine Menge damit zu tun, denn die Naivität und das Vertrauen vieler User als auch vieler Webmaster ist der Grundstock auf dem heute Viren, Spyware, Cracks und erst recht Phishing basieren. Man kann JS nicht allein betrachten, sondern muss es im Zusammenhang mit den Sachen tun, die ebenfalls eine Rolle spielen.

Richtig!

Aber um mal die Tehorie aufzufrischen. Wo fängt denn das Risiko mit JS an? Doch nicht etwa beim JS, sondern bei den Contenten die das JS zulassen. Oder etwa nicht?

Warum wird dann hier JS als Risiko beschrieben? - Wenn doch der Henker wo anders sein Urteil verüben müsste?

 

[SpecialsGuy]

Wow jetzt weist du ja, dass ein Hacker ja nicht böses ist! Meine Achtung! - Der erste Punkt.

Nur das Hauptvolk versteht sonst nicht worum es geht! - Erklärung!

EDIT: Jo und jetzt lachst du, da lache ich gerne mit. Welch ein Fachwissen, aber mit Javascript hackst du ja eine Bank. Viel Erfolg. Verstehe mich nicht flasch, aber ich hab schon Bauchkrämpfe. Ich gebe auch dir gerne Recht, weil du es doch so unbedingt haben magst. Na bitte. Ich habe mein sauber funktionierendes Gehrin, und bleibe bei meiner Meinung.

Es geht doch garnicht darum, in eine Bank mit JS einzudringen ... oder so wie du es wie ein gewöhnlicher Bankräuber wohl versucht hast

Und es geht garnicht darum, daß das Hauptvolk dies versteht, es geht höchstens um eine Diskussion über Laien und nicht mit ihnen, das würde auch keinen Sinn machen. Du schweifst nun völlig ab.

Und übrigens, bis zu deinem Erscheinen ging es in dieser Diskussion auch garnicht darüber, wer Recht hat, wir haben sachlich diskutieren können. Du hast doch mit der "Ich hab Recht du nicht"-Geschichte angefangen ...

Und ja, auch Grossunternehmen sind vor keine Gefahren geschützt. Noch nie davon gehört, daß sogar Microsoft, Symantec etc. in der Vergangenheit auch Opfer von nicht-unerheblichen Attacken wurden? Die Art, wie du alles so darstellst, als wenn ja alles sicher wäre und dies oder jenes keine Gefahr darstellen kann, das ist doch die eigentliche naive Haltung, die ich an dir kritisiere.

Und ja, auch Javascript kann eine Gefahr darstellen, so wie es damals auch eBay erfahren musste. Und wenn man nicht auch dies aufgreift und die Sicherheit von JS diskutiert, kann es früher oder später ein Szenario geben, in welchem dies erneut eine grosse Sicherheitslücke in einem System öffnet.

Um einfach mal auf das Beispiel mit dem Adsponsor zu kommen: Gehen wir von aus, sein PHP-Code (oder was auch immer) ist sicher und darüber kann nichts Böses injiziert werden. Gehen wir davon aus, das ganze wird über Protokolle ausreichend geprüft, so daß ein Angriff früh erkannt werden kann. Und gehen wir davon aus, es ist eine vertrauenswürdige Quelle. Jetzt wirst du denken, "hey, es ist doch alles sicher". FALSCH! Betrachtest du ein Gesamtsicherheitskonzept gibt es hier Lücken! Ein böser Mitarbeiter wäre in der Lage die Auslieferung des JS-Codes an eine Seite so zu manipulieren, daß es zur Gefahr würde (dazu braucht der schädliche Code nicht mal in JS selbst zu stecken, es reicht, wenn dieser z.B. über Browserlücken weitere Codes z.B. einen Virus verbreiten könnte). Hier bestehe die Gefahr, daß es nicht schnell genug auffällt und bei einem Werbenetzwerk z.B. in der von Google kann erheblicher Schden _und_ Imageverlust entstehen, wenn es auch nur für eine Stunde niemandem auffällt. Und darauf basiert unsere Diskussion, z.B. zertifiziertes JS als Schutz. Nun kommst du und sagst "ach, das ist Kinderkram". Nein, ist es nicht, wie du sehen kannst. Dein Problem ist es, daß du über nicht ausreichend Wissen und Erfahrung verfügst, um soweit zu denken. Merk dir, Sicherheit ist nicht etwas, das man kennt und fertig ... Sicherheit ist ein unendlicher Lernprozess.

 

[tleilax]

Damnit. Lesen will gelernt sein oder?

Das Topic heisst "Sicherheitsrisiko beim Einbinden externer Scriptdateien" und ich hab' beim Erstellen des Threads schon überlegt, ob ich dahinter noch ein Fragezeichen setze, damit es mehr zur Diskussion anregt.

Und wenn Du sagst, dass das Risiko bei Contenten liegt, die das Einbinden von JS zulassen, wieso tust Du's dann selber:

<script src="https://layer-ads.de/la-7950-subid:4.js" type="text/javascript"></script>

Ist auf beiden verlinkten Seiten Deiner Signatur zu finden (einmal sogar im Body *g*). Somit öffnest Du auch einem potentiellen Angreifer Tür und Tor. Nagut, in Deinem Fall nicht so wild, da nirgends Daten übergeben werden, die relevant wären. Und für Dich wahrscheinlich nicht von Belang, da Du LayerAds vermutlich blind vertraust.

Aber mal angenommen, ich schreib oder kauf mir ein Script, das ein Werbenetzwerk darstellt. Die Scripte dafür gibt's hier im entsprechenden Forum ja und somit kann jedermann so ein Netzwerk aufmachen. Und wiederum mal angenommen, ich schleuse in die JS-Codes schadhaften Code ein, der mir die Inhalte jedes Formulars, wo ein input[type="password"] vorkommt, übermittelt, was 100%ig problemlos möglich ist. Weiterhin benutze ich Mechanismen, um dies zu verschleiern. Wie schon erwähnt, binde ich dies nicht von Anfang an ein, sondern erst ab 2 oder 4 Wochen Betrieb. Dazu wird der Code ein bisschen obsfuscated, simpelste Mechanismen eingebaut, damit er noch weiter versteckt wird.

Und jetzt willst Du mir/uns erzählen, dass man da keinen Nutzen draus ziehen kann? Klar, in Deinen Augen zählen nur die ganz grossen Coups, aber das ist ja nur Deine Meinung. Vielen hier auf klamm würden wahrscheinlich schon klammID/Losepasswort genügen, aber darüber hinaus wird man vermutlich 'ne Menge mehr interessanter Daten bekommen. Alleine die Kombination Nickname/eMail und Losepasswort dürfte in mindestens 5% aller Fälle bei anderen (interessanteren) Seiten zum Erfolg führen. Nehmen wir mal ebay oder Paypal.

Und wenn ich nach dem Daten sammeln noch unentdeckt geblieben bin, den Code entferne und die Daten erst nach 4 Wochen benutze, kannst Du mir nicht erzählen, dass irgendjemand zurückverfolgen kann, woher ich die Daten habe. Die JS-Dateien sind aus dem Cache raus, in Serverprotokollen (ausser meinem eigenen) wird nix zu finden sein, da sich alles über den Browser des Users abgespielt hat.

So und um auf den Anfang des Posts zurückzukommen, wer garantiert Dir, dass Layer-Ads (nur beispielsweise, da Du es einsetzt; ich will hier Layer-Ads garantiert nichts unterstellen!!) nicht vielleicht jemanden hat, der für ein paar Datenkombinationen was zahlen würde bzw selbst Interesse daran hat (abwegig, aber wer weiss).

Und um nochwas anzumerken: Ich hatte diesen Thread gestartet als Diskussion über die Möglichkeiten und Erfahrungen mit solchen Arten der Injections. Keiner hat bislang was davon gesagt gehabt, dass es zum Hacken/Cracken/whatever von irgendwas genutzt werden soll. Es ist in meinen Augen lediglich interessant, sich ein Worst-Case-Szenario aufzubauen, um daraus ableiten zu können, wo man wie welche Sicherheitslücken schliessen kann.

Wenn Du das anders siehst, bitteschön. Tu Deine Meinung einmal kund, aber führ die Diskussion hier bitte nicht ad absurdum, indem Du alles als Kindergarten abtust, was nicht Commerzbank ist.

 

[SpecialsGuy]

Wo fängt denn das Risiko mit JS an? Doch nicht etwa beim JS, sondern bei den Contenten die das JS zulassen. Oder etwa nicht?

Eben nicht, da liegt dein grosser Irrtum! Das Risiko fängt beim schwächsten Glied an und wenn du JS aussen vor lässt, wird es zum Risiko. In meinem obigen Beispiel siehst du, daß allein JS das Risiko darstellen kann und nicht der Content.

Ach übrigens, es stimmt ja, daß du mit JS nicht domainübergreifend von einem Frame auf die Inhalte eines anderen Frames zugreifen kannst, wenn Inhalte von verschiedenen Domains geladen sind, wie du auch gesagt hast. Aber mir fällt in diesem Moment auch eine Möglichkeit (zugegeben eine etwas leicht aufwendigere) ein, wie ich genau dieses Problem wiederum umgehen könnte (um z.B. Inhalte im anderen Frame doch zu ändern) und das sogar ohne daß das Hauptvolk davon was merken würde und ohne daß auf der anderen Seite ein JS direkt eingebunden sein muss!

Da fällt mir übrigens auch noch die Geschichte mit Spyware wie Gator ein, die doch weltweit zigtausende Webmaster durch geklaute Werbefinanzierungen (Pay4Leads etc.) geschädigt haben. Auch hier musste ja keine Infizierung über den Server der Werbenetzwerke erfolgen, aber es hat nicht verhindert, daß Codes (womöglich auch JS-Teile) manipuliert werden konnten. Findige Betrüger finden immer einen Weg in jedes System, wo es sich "lohnt".