So hatte sich Microsoft das sicher nicht vorgestellt. Ein Vortrag über ein massives Browser-Sicherheitsproblem hinter den verschlossenen Türen der hauseigenen Sicherheitskonferenz Bluehat entfachte den Ehrgeiz der Security-Community. Mittlerweile ist das Rätsel weitgehend gelöst und ein veritables Sicherheitsproblem im Internet Explorer offengelegt. Manuel Caballero demonstrierte in Redmond offenbar ein recht universelles Spionage-Tool, das man sich allein durch den Besuch einer Web-Seite einfangen kann. Seine gespenstische Zusammenfassung:
Glauben Sie an Geister? Stellen Sie sich ein unsichtbares Script vor, das Ihnen heimlich folgt, während Sie surfen – selbst nachdem Sie die URL 1000 Mal gewechselt haben. Und dieser Geist sieht alles was Sie machen: wohin sie surfen, was Sie dort eintippen (Passwörter eingeschlossen) und er errät auch Ihren nächsten Schritt.
Was an Informationen über diesen Vortrag nach draußen drang, genügte einigen Sicherheitsspezialisten, das Puzzle Stück für Stück wieder zusammen zu setzen. Es war klar, dass es sich um eine Verletzung der Cross Domain Policy handelt, die sicherstellt, dass etwa eine Microsoft-Seite nicht mitlesen kann, was Sie auf einer Heise-Seite eintippen. Dass iframes im Spiel waren verriet ein veröffentlichter Screenshot der Demo. Der Rest erforderte etwas Erfahrung und Ausprobieren...
- Neuen Kommentar schreiben
- 1 Punkt
Wahrscheinlich haben da ein paar Leute bei Microsoft lange grübelnd über den Downloadzahlen des IE7 gesessen und sich gefragt: "Warum zum Henker laden die Leute sich nicht den IE7 runter? Jetzt, wo wir immerhin schon Tabs anbieten und fast so nett wie der Firefox daherkommen?".
