Mittwoch, 25. November 2009

Sicherheit

XSS-Schutz des IE8 exploitbar

Der XSS-Schutz des IE8 bröckelt.

Der neueingeführte Cross-Site-Scripting Schutz des Internet Explorer 8 lässt sich anscheinend aushebeln.

Gorgio (der Entwickler von NoScript) berichtet in einem Blogeintrag darüber.

Konkret liegt das Problem in der Art der Filterung des IE8. So manipuliert der Internet Explorer die Antwort (Response) des Servers und verändert sie so, dass kein Code ausgeführt werden soll.

Hier liegt der Designfehler vor. Ich stelle mir es so vor, dass es sich ähnlich dem doppeltem Escapen verhält:

badBADCODEcode -> Filter = badcode
Bewertung: 4.79 von 5, 38 Stimme(n) 3475 Klicks
, , ,
Von Mr.Foo in Sicherheit am 25.11.09@12:07 Uhr

Trackbacks
Trackback für spezifische URI dieses Eintrags

Keine Trackbacks

0 Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

Noch keine Kommentare


Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Sie können [geshi lang=LANG][/lang] Tags verwenden um Quellcode abhängig von der gewählten Programmiersprache einzubinden