PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Mehr Sicherheit: IE 8 soll XSS-Angriffe blockieren



Mr.XaXa
22.08.2008, 13:04
In der Entwicklungsabteilung für den Internet Explorer 8 arbeitet man intensiv an einem Filtersystem, das Cross-Site Scripting (XSS)-Angriffe verhindern soll. Gleichzeitig will man die Performance dadurch nicht zu stark schwächen.

Bei XSS-Angriffen fügt ein Hacker über Formulare oder die URL fremde Inhalte in eine Web-Anwendung ein. Wird die Eingabe Server-seitig nicht ausreichend geprüft, können andere Nutzer anschließend Seiten aufrufen, in die eine Schadroutine in JavaScript-Code o.ä. eingebettet wurde. Das ermöglicht es dem Angreifer beispielsweise Zugangsdaten zu entwenden.

Ein Filter soll solche Codes zukünftig erkennen und ihre Ausführung auf dem Rechner eines Anwenders blockieren. "Es ist eine Herausforderung, die Balance zwischen der Entschärfung von XSS und den Anforderungen an Kompatibilität, Sicherheit und Performance zu finden", so David Ross, Security Software Engineer bei Microsoft.

Der XSS-Filter darf beispielsweise nicht zu lange brauchen, den Quellcode einer Web-Seite zu überprüfen oder gar gewünschte Effekte mit Client-seitigen Script-Sprachen unterbinden. Die Erweiterung soll daher erst aktiv werden, wenn Seiten geladen werden, die potenziell unsichere Objekte enthalten können. Erst wenn beispielsweise neben sicheren Inhalten auch JavaScript o.ä. enthalten ist, beginnt eine tiefergehende Prüfung.

Der zuständige Administrator kann den Filter außerdem für bestimmte Zonen deaktivieren. Gibt es im Intranet eines Unternehmens beispielsweise ausreichend andere Schutzmaßnahmen, müssen dessen interne Seiten nicht geprüft werden. Alarm schlägt das Tool allerdings, wenn durch den HTML-Code eine Script-Datei von einem Server angefordert wird, der nicht mit der Quelle der Web-Seite übereinstimmt.

In diesem Moment wird eine heuristische Analyse des hinzugeladenen Codes gestartet. Durch einen Vergleich mit den zuvor gesendeten URL- und POST-Informationen sollen potenzielle XSS-Angriffe jetzt erkannt werden. Der Nutzer wird dann über den Fund informiert.

QUELLE (http://winfuture.de/news,41683.html)

Bin mal gespannt, wie das in der Praxis abschneidet.

Sturm
22.08.2008, 15:19
von dem verein werden immernoch schlechte produkte einem aufgezwungen. wenn man mal firefox mit IE vergleicht... da is ff schon mal viel weiter vorne was aufbau der seiten angeht,richtig dargestellt werden diese auch und vorallem werden keine bekloppten unnötigen active x scripte dargestellt... brauch kein schwein: genauso der mist von MS der angeblich dem FLash-format konkurrenz machen soll.

ich halte davon nix und setze auf Firefox.