Hallo Admins,
obwohl dieses Thema nicht zur Gruppe passt, bitte Topic nicht wieder verschieben. Brauche das Fachwissen der Experten. Oder - wenn Ihr verschiebt, bitte Phantomthread stehen lassen! Die Experten sind hier und nicht bei Freenet
Danke.
Zum Thema:
Ich bin heute zufällig in eine fast unglaubliche Backdoor im IE 6 unter MS XP SP 2 gestolpert. Ich konnte mich leider nicht gegen SP 2 wehren; war schon vorinstalliert auf meiner neuen Kiste. Mittlerweile finde ich das OS komplett paranoid, doch das ist meine persönliche Meinung.
Ich konnte das Problem auf Folgendes herunterbrechen:
Eine HTML Datei, die JavaScript-Code enthält, wird bei lokaler Ausführung grundsätzlich angemeckert ("Die Anzeige aktiver Inhalte, die auf den Computer zugreifen können, wurde für diese Datei aus Sicherheitsgründen eingeschränkt"). Man kann die Mecker umgehen, indem man temporär die geblockten Inhalte zulässt bzw. in den globalen Sicherheitseinstellungen rumpfuscht.
Zum "Empfang" o.g. Fehlermeldung reicht es, folgende kleine HTML Datei per Doppelklick zu starten:
<html>
<body onload=hallo();></body>
</html>
Wie man sieht, ist der body leer (darauf kommts nicht an) und die Script funktion existiert auch nicht (darauf kommts auch nicht an, Hauptsache Scriptcode ist vorhanden). Beim Ausführen dieser HARMLOSESTEN DATEI DER WELT kommt es zu der o.a. Warnung.
Zufälligerweise habe ich noch eine andere Version dieser Datei gehabt. Ursprünglich wurde die mit Frontpage 2003 erzeugt und dann als Anlage vermailt. Diese ältere Version tat es ohne Klagen.
Der einzige Unterschied zwischen ersterer und letzterer Datei besteht nun in einer (an irgendeiner Stelle der Datei) eingefügten KOMMENTARZEILE folgenden Inhalts:
Wenn der Browser diese findet, meckert er nicht --- respektive führt den Code aus (!!??). Der String muss auf einer Zeile stehen und darf - zumindest bis "e-mail" - nicht verändert werden. Zweite Bedingung für das Nichtauftreten der Script-Fehlermeldung ist, dass bei Aufruf alle anderen Browserfenster geschlossen sind.
Ich bitte Besitzer von XP SP 2 um Verifikation. Hier konnte ich es auf verschiedenen Systemen nachstellen.
EDIT: Der Code _wird_ ausgeführt:
<html>
<body onload=alert("Hallo");></body>
</html>
Damit ist das für mich ein Sicherheitsloch.
Grüsse
obwohl dieses Thema nicht zur Gruppe passt, bitte Topic nicht wieder verschieben. Brauche das Fachwissen der Experten. Oder - wenn Ihr verschiebt, bitte Phantomthread stehen lassen! Die Experten sind hier und nicht bei Freenet
Danke.
Zum Thema:
Ich bin heute zufällig in eine fast unglaubliche Backdoor im IE 6 unter MS XP SP 2 gestolpert. Ich konnte mich leider nicht gegen SP 2 wehren; war schon vorinstalliert auf meiner neuen Kiste. Mittlerweile finde ich das OS komplett paranoid, doch das ist meine persönliche Meinung.
Ich konnte das Problem auf Folgendes herunterbrechen:
Eine HTML Datei, die JavaScript-Code enthält, wird bei lokaler Ausführung grundsätzlich angemeckert ("Die Anzeige aktiver Inhalte, die auf den Computer zugreifen können, wurde für diese Datei aus Sicherheitsgründen eingeschränkt"). Man kann die Mecker umgehen, indem man temporär die geblockten Inhalte zulässt bzw. in den globalen Sicherheitseinstellungen rumpfuscht.
Zum "Empfang" o.g. Fehlermeldung reicht es, folgende kleine HTML Datei per Doppelklick zu starten:
<html>
<body onload=hallo();></body>
</html>
Wie man sieht, ist der body leer (darauf kommts nicht an) und die Script funktion existiert auch nicht (darauf kommts auch nicht an, Hauptsache Scriptcode ist vorhanden). Beim Ausführen dieser HARMLOSESTEN DATEI DER WELT kommt es zu der o.a. Warnung.
Zufälligerweise habe ich noch eine andere Version dieser Datei gehabt. Ursprünglich wurde die mit Frontpage 2003 erzeugt und dann als Anlage vermailt. Diese ältere Version tat es ohne Klagen.
Der einzige Unterschied zwischen ersterer und letzterer Datei besteht nun in einer (an irgendeiner Stelle der Datei) eingefügten KOMMENTARZEILE folgenden Inhalts:
Wenn der Browser diese findet, meckert er nicht --- respektive führt den Code aus (!!??). Der String muss auf einer Zeile stehen und darf - zumindest bis "e-mail" - nicht verändert werden. Zweite Bedingung für das Nichtauftreten der Script-Fehlermeldung ist, dass bei Aufruf alle anderen Browserfenster geschlossen sind.
Ich bitte Besitzer von XP SP 2 um Verifikation. Hier konnte ich es auf verschiedenen Systemen nachstellen.
EDIT: Der Code _wird_ ausgeführt:
<html>
<body onload=alert("Hallo");></body>
</html>
Damit ist das für mich ein Sicherheitsloch.
Grüsse
