Professor Doktor Offensichtlich hat jetzt festgestellt, dass man mit JavaScript onClick Ereignissen Linkziele so verändern kann, dass es auf den ersten Blick nicht auffällt.
Kommentare
Kommentieren
In der Archivversion kann nicht kommentiert werden.
Nachtwächter am 22.3.2013 um 20:28
Ich schmeiß mich weg! Eine ganz neue Möglichkeit, so ein onclick-Handler. Und die Abhilfe dagegen ist ja so schwierig, da muss man ja in die Adresszeile des Browsers schauen, um zu sehen, was da dargestellt wird und auf welchem Server es liegt.
Hoffentlich wird diese Vorgehensweise ein Standard unter Phishern und Spammern, und gern auch immer wieder einmal mit XSS kombiniert – bescheiden gecodete Kommerzsites gibts ja immer wieder in Mengen. Dann wird irgendwann in den nächsten vier bis fünf Jahren noch dem Letzten da draußen dämmern, dass man nicht jeder dahergelaufenen Seite im Web erlauben sollte, Code im Browser auszuführen. Egal, was irgendwelche Marketingheinis mit ihren tollen HTML5-Spitzeltools und Reklameideen darüber denken. Ist zwar dann ein bisschen schade für die ganzen »Anwendungen im Browser«, aber sonst eigentlich weniger…
Nachtwächter am 22.3.2013 um 20:45
Ich habe eben übrigens ein noch schwereres Sicherheitloch in allen umlaufenden Browsern entdeckt. Es geht so:
setTimeout (function () { location.href = ’http://5z8.info/php-start_GPS_track ing-user_b5y5zi_hookers’; }, 15000);
Mit dieser wirklich einfach einzubettenden Zeile (gern auch mit einem XSS-Hack) wird einfach nach 15 Sekunden auf eine ganz pöse Website umgeleitet, ohne dass der Benutzer überhaupt noch irgendwo hinklicken muss. Es ist also noch gefährlicher! Es ist noch überrumpelnder! Man stelle sich mal das Missbrauchspotential vor! WARNUNG! Ihre Bundespolizei informiert, dass ihr Rechner infiziert ist, klicken sie hier, um den Troj… ähm… den Rechner zu reinigen…
Bei welchem Sicherheitswettbewerb kann ich meine Million für meinen erfolgreichen Hack von Firefox, IE, WebKit und Chrome gleichzeitig abholen? Und werde ich demnächst auch auf Heise Security erwähnt? Oder haben die bei Heise jetzt einen anderen Praktikanten fürs Ressort Security?
Bio am 22.3.2013 um 20:52
Genau, eine Abhilfe ist UNMÖGLICH!
Ohne aktiviertem JavaScript funktioniert der Link auch »nur« so wie er soll.
Angeblich soll G00gle sich ja schon um einen Fix kümmern – da glaube ich eher, die suchen nun eine Möglichkeit, ihr komisches Klick-Tracking anders zu machen und »verkaufen« das dann nebenbei als Fix
Nachtwächter am 22.3.2013 um 21:28
Und noch ein ganz großes Sicherheitsloch. Gruselig!
Bio am 22.3.2013 um 21:39
Das ist ja der Knüller an dem ganzen…. Mit allen möglichen Ereignissen kann man sowas machen. Wie lange ist das jetzt schon bekannt – seit es JavaScript gibt?
Ich lese ja schon lange keine CT mehr, weil es einfach nur noch consumer Rotz ist (und solch tote Bäume zu stapeln nicht wirklich mehr Sinn macht), aber das jetzt bei Heise-Security, das toppt doch alles bisherige
Wenn wenigsten schon der 1.4. wäre, dann würde ich das ja verstehen….
Bio am 22.3.2013 um 22:38
Ach übrigens. Ich finde dies AddOn für Firefox ganz nützlich.
Bio am 23.3.2013 um 00:28
Ach noch etwas. Ich nutze ja hin und wieder auch den Iron Browser, also den Antischnüffel-Chrome. Was mir da in den letzten Tagen lustiges begegnete. Irgend so ein dummes PopUnder lies sich nicht mit dem Schließen-Kreuz oben zu machen. Immer wenn ich mit der Maus auf das Kreuz klickte beamte sich der Mousecursor in die Mitte des Fensters auf die Schaltfläche »jetzt anmelden«.
Dunkel erinnere ich mich noch an eine Meldung das so etwas da mit JavaScript möglich wäre.
Nachtwächter am 23.3.2013 um 00:55
So einen Müll kenne ich von früher auf gewissen Seiten für Rubbelfilme: Popups, die sich nicht schließen ließen. JavaScript ist so toll!
Na ja, Popups haben sich erledigt, und JavaScript hat sich bei mir auch erledigt. Nicht alles ist beschissener geworden, etliches ist auch viel besser. Nur der Größenwahn gewisser Leute, die jetzt alles in den Browser holen wollen, der ist inmer schlimmer geworden.
Wenn ich wollte, könnte ich hier einen Emacs starten. Das ist ein ziemlich monströser Editor. Damals wollte man alles in den Editor holen. Der hat einen Kalender (mit frag mich niemand wie vielen verschiedenen historischen und aktuellen Kalendersystemen), einen Mailclient, einen Browser, ein Leseprogramm für man-pages, ein Leseprogramm für info-pages, ein paar eingebaute Spiele, einen ELIZA, falls einen das alles irre gemacht hat, einen durchaus brauchbaren Dateimanager, eine Schnittstelle zum Debugger… ach! Genau so stellt sich der hippgeile Nachwuchs das mit dem Browser vor. Ich kann Emacs durchaus flüssig bedienen (weil ich jahrelang mit diesem Monster geproggt habe und mich dabei dran gewöhnt habe), aber für die meisten Dinge, die Emacs könnte, bevorzuge ich doch andere Anwendungen. Tja, und zum schnellen Verfassen eines Textes bevorzuge ich auch Editoren, die klein sind und flott starten anstelle dieses sehr schwerfälligen Monsters.
Aber was solls, da muss jetzt eine ganze Generation die gleiche Erfahrung nochmal mit dem Browser machen. Nur, dass man heute nicht mehr in LISP proggt, sondern in JavaScript. Demnächst sogar multithreaded. Und immer mit Internet und Sicherheitsproblemen. Der Opera, der hier läuft, hat übrigens einen beachtlichen Speicherabdruck dafür, dass er einfach nur ein paar HTML-Dokumente darstellt. Die Technik wird besser, die Dummheit bleibt konstant.
Bio am 23.3.2013 um 02:24
ELIZA hat mich auch mal fasziniert

Damals gab es aber schon Homesite, das später ja mit Dreamweaver verheiratet wurde. In der Klausur, natürlich Texteditor only, hab ich ihm dann einen Kommentar reingeklatscht 
Und Emacs kenn ich noch von der AMiGA, wenn ich mich nicht irre, aber auch von Linux und, ohne jetzt den Editor War starten zu wollen, er gefiel mir immer besser als dieser komische Vi. So gut kenne ich aber beide nicht, denn zum Glück gab es zu der Zeit auch schon Desktops mit »richtigen« Editoren
Ich war immer der Meinung, warum soll ich mir das Leben unnötig schwer machen mit dem Computerkram, wenn es doch auch schon einfacher geht.
Der eine Dozent im HTML Kurs meinte, Webseiten macht man nur und immer im Texteditor, anders weiß man gar nicht was da für ein Code erzeugt wird und bezog sich dabei immer auf MS-Frontpage
Hmm trotz code-tag wird das verschluckt, dann also so: [!-- Text Editors are for wimps! --]
so wie ich nun mal bin. Ich weiß nicht ob er je den Quellcode betrachtet hat, scheinbar nicht, denn ne 1 gabs trotzdemAuch ein c/c++/c# Dozent meinte, er schreibe alle Programme mit einem Texteditor. ALLE! Ich muss da immer nur in mich rein lachen und den Kopf schütteln. So masochistisch, oder autistisch veranlagt kann ich gar nicht sein um das auch nur in Erwägung zu ziehen. Es geht nichts über eine gute IDE für das jeweilige Einsatzgebiet.
Trotzdem mag ich auch einfache kleine Editoren die flux geladen sind und dennoch ne menge bieten, wie z.B. Notepad++, tägliches Handwerkszeug für alles mögliche
Ach und ja. Es war zwar keine pr0n Seite, die mir das PopUnder hin klatschte, bei xHamster gibt es so etwas nicht
, aber in dem Fenster war irgend so ein Partnervermittlungsfickbörsenscheiss, die mich unbedingt als Mit-Glied haben wollten
Bio am 24.3.2013 um 23:25
Ach. So sieht die Webseite von dem genannten c/c++/c# Dozent aus:
http://www.kpschwinn.de/
Das ist scheinbar seit Jahrzehnten nichts dran gemacht worden. Und. Der bietet auch Webseiten Erstellung an.
Have Fun!
Nachtwächter am 25.3.2013 um 01:48
Hui, der rotierende Würfel, der die Beschriftungen auf den Würfelseiten so prächtig zur Geltung bringt. Da weiß ich schon beim Anblick der Startseite, dass da einer was vom Die-Sein versteht. Gut, dass ein Counter darunter steht, so dass man sieht, wie reichlich besucht dieses Kleinod des deutschsprachigen Webs ist. In fünfzehn Jahren professioneller Schulungen hat es immerhin 2524 Besucher zu sich gelockt, also etwas mehr als drei pro Woche. Da würde ich mich sehr elitär fühlen, wenn ich solchen Dienst in Anspruch nähme.
Unbedingt lobenswert ists, dass dieser Experte kein nutzloses Wissen kennt und nicht besinnungslos dem Fetisch der Modernität hinterherhetzt. Etwas Grundlagenwissen in Windows 9x/ME kann man immer gebrauchen, und wer noch, was ja häufig der Fall sein soll, DM-Banknoten herumliegen hat, kann auch die 600 DM für die zwei Tage voller interessanter Informationen bezahlen. Aber die Fachkenntnisse des dort beworbenen Meisters beschränken sich keineswegs auf die Vermittlung von Anwenderwissen, zum gleichen erfreulichen Preis kann man sich auch in die Geheimnisse der C-Programmierung einführen lassen. Dabei lernt man sogar die Unterschiede zwischen Feldern, Arrays und Vektoren kennen, was einem sonst nirgends geboten wird. So hässliche Konzepte wie Pointer hingegen gehören nicht dazu. Vielleicht gelangt man an diese Kenntnisse im Rahmen eines C++-Aufbauseminars, das einem nach drei Tagen dazu befähigt, komplexe Anwendungen in C++ zu erstellen.
Mitnichten, es gibt ein Aufbauseminar C, das endlich klar macht, was dieses
char **
und andere Zeiger auf Zeiger bedeuten. Mit »Schnittstellenprogrammierung«.In diesen schweren Zeiten, in denen so viel Software schon fertig ist, hat sich der Herr Experte auch diversifiziert und bietet die Erstellung von Webseiten an. Drei Grafiken und drei Links in ca. 600 Zeichen Text für fuffzig Euro, das ist ein Schnäppchen. Die hohe Qualität des dabei produzierten Designs wird gleich auf der Angebotsseite und auf der Homepage präsentiert – eine Demonstration, die jeden überzeugt! Da PHP (oder gar so ein Teufelszeug wie JSP) gefährlich sind, wird komplexe Navigation in Framesets realisiert; das ist einfach, bewährt und zeigt wahre Meisterschaft. Gekrönt wird diese Dienstleistung durch eine Anmeldung an fünfzig nicht näher benannte Suchmaschinen für das kleine Entgelt von dreißig Euro. Wer ein Problem hat, ins Web zu kommen, wird hier gelöst.
Natürlich werden auch Programmierleistungen erbracht, und zwar in einer großen Breite verbreiteter und weniger verbreiteter Programmiersprachen. Unter anderem auch in HTML, CGI, ORACLE und Windows API. Man kann sich gewiss sein, dass diese Leistungsfähigkeit nur in den Anforderungen der Business-Kunden eine Grenze finden wird.
Ein wenig getrübt wird dieser Auftritt nur dadurch, dass für den Kontakt weder Fax noch Telex zur Verfügung stehen. Aber die seriöse und professionelle Note wird dann wieder durch das beeindruckende Gästebuch voller wertvoller Geschäftskontakte unterstrichen. Darin zeigt sich auch in der einen oder anderen Anfrage, dass die Expertise noch wesentlich weiter geht, als es das beeindruckende Profil bereits erahnen ließ; etwa in der dringenden Bitte um Hilfestellung Help me please, damaged tube porn.
Das reich frequentierte, vielerlei Fragen beantwortende Fachforum ist der krönende Abschluss des rundum gelungenen Auftritts eines kompetenten Webdesigners, fähigen Programmierers und großartigen Beraters.
Bio am 25.3.2013 um 18:30
YMMD!
Du bist und bleibst (hoffentlich) der Retter meiner schlechten Tage!