Dienstag, Oktober 03, 2006

Cross-Site-Scripting

Man sollte nicht allen url-links glauben, die man so im www findet. Zum Beispiel der von mir angegebenen url im letzten post. Originelle Idee und so unvorstellbar ist es ja auch nicht, dass die Leute sowas verzapfen, wie in dem wiedergegeben Text. Ich bin voll drauf reingefallen! Als XSS-Attacke (Cross-Site Scripting) wird es bezeichnet, wenn eine Computersicherheitslücke ausgenutzt wird, indem Informationen aus einem Kontext, in dem sie nicht vertrauenswürdig sind, in einen anderen Kontext eingefügt werden, in dem sie als vertrauenswürdig eingestuft werden. Aus diesem vertrauenswürdigen Kontext kann dann ein Angriff gestartet werden. Die Bezeichnung „Cross-Site“ leitet sich von der Art ab, wie diese Attacke webseitenübergreifend ausgeführt wird (auf einer vom Angreifer kontrollierten Seite steht beispielsweise ein präparierter Hyperlink, der zur vermeintlich vertrauenswürdigen Website einer meist ahnungslosen dritten Partei führt - hier unsere "liebe" Partei). Die url in den browser gesetzt funktioniert natürlich nicht. Allerdings bestätigen die anderen Texte auf der verlinkten website die Dämlichkeit jener Partei ohnehin.

3 Kommentare:

mq hat gesagt…

In diesem Fall witzige Idee. Diesen Geistesgestörten traut man sowieso alles zu, warum nicht eine Blumentarnung.

Anonym hat gesagt…

Ich hatte unlängst einen Kommentar des österreichischen Innenministeriums auf meiner Seite mit korrekter URL und E-Mail Adresse.

Meine Test Message blieb natürlich unbeantwortet. Der Inhalt des Kommentars enthielt eine genaue Adressenangabe mit Telefonnummer, was ich natürlich sofort löschte. Aber geguckt hab ich erstmal ganz schön blöd. Scheißspiel so etwas, gottseidank passierte das nachts um 2 Uhr.

der Nachbar hat gesagt…

@markus: in der Tat, man traut ihnen alles zu, darum hält man die Urheberschaft jenes Textes auch nicht gleich für unmöglich.

@neo-bazi: es ist ja schon immer so gewesen, dass wir Informationen nach ihrem Wahrheitsgehalt beurteilen und gewisse Presseerzeugnisse z.B. von vornherein mit größter Vorsicht bewerten, damit uns niemand ein X für´n A vormachen kann, gilt halt auch für´s web.