Beiträge vom 24. Juni 2009

Cross-Site Scripting über Google-Suche

Mittwoch, 24. Juni 2009, 19:46 Uhr | Autor:

Zielscheibe Google: Cyberbanden infizieren Suchergebnisse” (gdata.de)

G Data verzeichnet seit einigen Tagen einen großangelegten Angriff auf Nutzer der Suchmaschine Google. Das Vorgehen der Täter ist äußerst hinterhältig: Die Eingabe bestimmter Suchanfragen führt zu Ergebnissen mit manipulierten Links. Klickt der Surfer diese an, injiziert sich im nächsten Schritt unbemerkt Schadcode in die aufgerufene Webseite, der unterschiedliche Täuschungsmanöver initiiert. So bekommen manche Surfer einen VideoCodec und andere falsche Virenschutz-Programme angeboten

Als Schutzmaßnahme wird u.a. das Abschalten von JavaScript empfohlen – eher unrealistisch – da sehr viele Websites ohne JavaScript gar nicht funktionieren und es wird auf das Addon NoScript für den Firefox verwiesen.


Ausführliche Beschreibung
Zusätzlicher Schutz für Ihren Browser: NoScript erlaubt das Ausführen von JavaScript, Java (und anderen Plugins) nur bei vertrauenswürdigen Domains Ihrer Wahl (z.B. Ihrer Homebanking-Website). Der auf einer Positivliste basierende präventive Ansatz zum Blockieren von Skripten verhindert das Ausnutzen von (bekannten und unbekannten!) Sicherheitslücken ohne Verlust an Funktionalität.

Quelle: NoScript – addons.mozilla.org

Und? Gemerkt?

Viele, wirklich sehr sehr viele Websites, die man als vertrauenswürdig einstufen würde… du ahnst es sicher schon… <g>

Was hilft das Addon bei Seiten die ich täglich besuche, die ich für vertrauenswürdig halte?

SEHR VIEL!

In der Beschreibungen fehlt ein Hinweis, zu einem sehr wichtigen Feature von NoScript.

In NoScript steckt auch ein XSS-Filter!

Auf der addons.mozilla.org steht nur unter den “Entwickler-Kommentare” das an dem XSS-Filter geschraubt wurde. Warum steht das Feature nicht in der Beschreibung?

Der XSS-Filter taugt nichts. Es wird offensichtlich nach einer Blacklist gefiltert und der Autor des Addons meint das z.B. injizierte Links, TEXTAREAs, INPUTs, DIVs, etc. und Styles und JavaScript in den TAGs selber, kein Cross-Site Scripting wäre und nicht gefiltert werden müsste. Schade!


Also, was G Data da meldet ist genau jenes Problem, mit dem ich seit langem hunderten Website-Betreibern in den Ohren liege und wo häufig nichts unternommen wurde oder wo mir dann ganz stolz mitgeteilt wurde, man habe die Lücke geschlossen – in Wirklichkeit haben die Jungs und Mädels aber nur dafür gesorgt, dass genau mein Beispiel nicht mehr funktionierte und wenn ich etwas an der Injektion modifizierte, so war die Lücke natürlich noch immer vorhanden.

Schlechte Noten für Informatikerausbildung (heise.de)

Die Fähigkeit, Software zu testen, beherrschen die Absolventen laut der Hälfte der befragten Industrievertreter unzureichend bis gar nicht. Hier tut sich ein offensichtlicher Gegensatz zur vorherrschenden Ansicht aus Industrie und Forschung auf, dass diese Fertigkeit wichtig bis sehr wichtig sei.

Thema: Sicherheit, XSS | Kommentare geschlossen

“The Insider”: Jörg Tauss

Mittwoch, 24. Juni 2009, 6:56 Uhr | Autor:

Tauss’ tiefer Fall” (zeit.de)

Der Bundestag entscheidet über Kinderpornosperren. Der SPD-Abgeordnete, der immer dagegen war, spricht über seine Kontakte zur Szene und die Ermittlungen gegen ihn
(…)
„Mich hat die Frage interessiert: Ist es beim Thema Kinderpornografie wirklich so, wie es erzählt wird? Ist das Internet wirklich an allem schuld?“ So begründet Tauss seine „Recherchen“. Lange, bevor das Netz zum Massenphänomen wurde, sei Kinderpornografie wesentlich freier zugänglich gewesen – „bis in die achtziger Jahre hinein wurde Material getauscht, wurden Hefte gedruckt. Nimmt das jetzt in der Menge wirklich zu? Ich behaupte, nein“. Es gebe schlicht höhere Aufklärungsraten. „Dass ich das behaupten kann, liegt an unserer Gesetzgebungsarbeit und hat mit meiner intensiven Beschäftigung mit der Sache zu tun – es wird sich zeigen, ob aus juristischer Sicht vielleicht zu intensiv“.



“Mitschnitt der Rede von Jörg Tauss – Bekämpfung der Kinderpornographie in Kommunikationsnetzen.”

(Nicht Lippensynchron aber das tut dem Inhalt keinen Abbruch.)

Und hier, das was Herr Tauss schon vor seiner Rede in der Plenarsitzung sagte:

Herr Kollege Dörmann, nachdem Sie leider nicht bereit waren, eine Frage von mir zuzulassen, möchte ich jetzt darauf hinweisen, dass ich es für eine große Respektlosigkeit gegenüber dem Bundesbeauftragten für den Datenschutz halte, ihm eine Aufgabe im Rahmen eines Gesetzes zuzuweisen, das er – das können Sie nachlesen – ablehnt.

Im Übrigen sind dem Bundesbeauftragten für den Datenschutz in den letzten Jahren durch die Große Koalition keine zusätzlichen Stellen bewilligt worden. Auch das ist eine große Respektlosigkeit. Dass man heute sagt, eine mittlere Behörde habe Weisungen entgegenzunehmen, ist Teil dieser Respektlosigkeit und des losen Umgangs mit dem Datenschutz in Deutschland.

Darüber hinaus sprechen Sie davon, dass endlich Verträge legalisiert würden. Ich sage Ihnen: Das sind Verträge, die durch Nötigung von Firmen zustande kamen, denen man gesagt hat: Wenn ihr nicht bereit seid, zu unterschreiben, werden wir euch öffentlich durch die Presse schmieren. – Ich halte es rechtsstaatlich für unmöglich, einen derartigen Vorgang der Nötigung hinterher gesetzlich abzusichern. Das sage ich in aller Klarheit. Ich bedaure sehr, dass die Koalition diesen Weg beschritten hat.

Quelle: Protokoll der 227. Sitzung des Bundestages, ab Seite 25158. (PDF / dip21.bundestag.de)



Auf abgeordnetenwatch.de versucht Herr Tauss zu erklären wie unsere Politiker das Internet sehen. Ich möchte hier nun nicht alles zitieren, aber lesen sollte man die komplette Erklährung. Leider werden alle meine Annahmen zu Politikern vs. Internet bestätigt…

Ein grosser Teil der Parlamentarier ist mit dem Internet nicht aufgewachsen. Sie empfinden es daher moeglicherweise sogar als Bedrohung. Sie nehmen es nicht als technisches Netz oder als Kommunikationsinfrastruktur wahr, verstehen nichts von Netzneutralitaet, sondern als etwas, wo man eben Boeses bekommen kann und wo vermeintlich das Boese auch herkommt und die Gesellschaft durchdringt. Das Netz spiegelt nicht Probleme wider, sondern verursacht sie in deren Augen: (in beliebiger Reihenfolge und austauschbar Islamismus, Pornos, Hacker, Bombenbauanleitungen, Terroristen, Rechtsradikale und dann auch noch amoklaufende Jugendliche etc. etc.). Deshalb muss das auch bei uns bekaempft werden, zumal, siehe Olympia, es die Chinesen ja schliesslich sogar vormachen koennen (CSU- Uhl ernsthaft: Bei der Ueberwachung des Internet von China lernen).

Quelle: abgeordnetenwatch.de

CDU-Innenpolitiker Uhl schließt Ausweitung der Internetsperren nicht aus” (weser-ems.business-on.de)


Für alle die Jörg Tauss erst jetzt im Zusammenhang mit den Netzsperren wahrgenommen haben: Der Mann ist schon länger sehr aktiv und wohl auch schon länger ein Dorn im Auge derjenigen die gerne im Verborgenen arbeiten. Die zeitliche Nähe zwischen dem Fund von KiPo bei ihm und der Debatte über die Netzsperren ist wohl auch kein Zufall, denn so konnte man seine Integrität unterminieren und ihn faktisch mundtot machen, so läuft das eben in der Politik – wo Wahrheit und Wahrhaftigkeit (nach Ulrich Wickert) keinen Platz mehr hat.


Hier hat sich mal jemand etwas durch das Internet gewühlt: “Zu Tauss – pro kontra – meine eigene 1 h Recherce dank des unzensierten Netzes!” (heise.de / Forum)

Und die Links aus dem Forenbeitrag, da im Forum leider nur heise.de-Links verlinkt werden:

Thema: Internet, Politik | Kommentare geschlossen