Mittwoch, 25. November 2009

XSS-Schutz des IE8 exploitbar

Der XSS-Schutz des IE8 bröckelt.

Der neueingeführte Cross-Site-Scripting Schutz des Internet Explorer 8 lässt sich anscheinend aushebeln.

Gorgio (der Entwickler von NoScript) berichtet in einem Blogeintrag darüber.

Konkret liegt das Problem in der Art der Filterung des IE8. So manipuliert der Internet Explorer die Antwort (Response) des Servers und verändert sie so, dass kein Code ausgeführt werden soll.

Hier liegt der Designfehler vor. Ich stelle mir es so vor, dass es sich ähnlich dem doppeltem Escapen verhält:

badBADCODEcode -> Filter = badcode
Geschrieben von Mr.Foo in Sicherheit um 12:07
Kommentare (0) | Trackbacks (0)
Tags für diesen Artikel: , , ,
  2. Nicht gut
  3. Uninteressant
  4. Neutral
  5. Gut
  6. Sehr gut
Bewertung: 1 von 5, 1 Stimme(n) 17 Klicks

Trackbacks
Trackback für spezifische URI dieses Eintrags

Keine Trackbacks

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

Noch keine Kommentare


Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Sie können [geshi lang=LANG][/lang] Tags verwenden um Quellcode abhängig von der gewählten Programmiersprache einzubinden