Sicherheit: Web-Seiten:
Angebliche sichere Web-Seiten offen für Attacken
Zwei amerikanische IT-Fachleute haben stichprobenartig Web-Sites daraufhin überprüft, ob sie durch Cross-Site-Scripting-Angriffe verwundbar sind. Ihr Resultat: Ja, und zwar auch Sites, die eine renommierte IT-Security-Firma als sicher eingestuft hat.
Den Test führten Kevin Fernandez und Dimitris Pagkalos durch. Beide informieren auf ihrer Web-Seite www.xssed.com [1] über Sicherheitsrisiken durch Cross-Site-Scripting-Angriffe (XSS).
Unserer Schwesterpublikation Informationweek.com [2] übermittelten die Fachleute eine Liste mit 62 Web-Sites, die von der IT-Sicherheitsfirma McAfee [3] als »Hacker Safe« eingestuft wurden. Dieses Prädikat erhalten Sites, die McAfees »Scan-Alert«-Service überprüft hat.
Die in der Liste aufgeführten Web-Sites sind nach Angaben von Fernandez und Pagkalos allerdings für XSS-Attacken anfällig. Bei den Web-Seiten handelt es sich unter anderem um die der Online-Händler www.brookstone.com [4] und www.sportsauthority.com [5] sowie der Finanzfirma www.mysecurewallet.nl [6].
Nach Angaben der zwei Experten weist auch die Web-Seite von Scan Alert selbst XSS-Schwachstellen auf.
McAfee: Kein Hacking von Servern möglich
McAfee hat mittlerweile in einer Stellungnahme mitgeteilt, dass es nicht möglich sein, XSS-Schwachstellen dazu zu nutzen, um Server zu hacken. Zwar könne ein Client-System tangiert sein. User-Daten, die auf Servern lagern, seien jedoch nicht betroffen.
Mithilfe von Cross-Site-Scripting können Angreifer HTML-Code oder eigene Scripts auf Web-Seiten platzieren.
Allerdings, so Oliver Friedrichs, Direktor von Symantecs [7] Security-Response-Team, sei die Wirkung von XSS-Angriffen begrenzt. Entsprechende Schwachstellen seien für jede einzelne Web-Seite spezifisch. Sobald sie entdeckt würden, könne ein Web-Master sie schnell beseitigen.
In den USA ist nun eine Diskussion über McAfees Scan-Alert-Dienst ausgebrochen. Die Fachleute von McAfee wiesen mehrfach darauf hin, dass der Service nur Schwachstellen aufdeckt. Sie zu beseitigen, sie jedoch Aufgabe des Betreibers einer Web-Seite.
[1] http://www.xssed.com
[2] http://www.informationweek.com/
[3] http://www.mcafee.com/
[4] http://www.brookstone.com
[5] http://www.sportsauthority.com
[6] http://www.mysecurewallet.nl
[7] http://www.symantec.com/
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Ist Ihrer auch zu breit?
Die linke Fahrspur ist in vielen Autobahn-Baustellen nur für Fahrzeuge mit maximal zwei Meter Breite zugelassen. Jetzt warnt der ADAC: 67 Prozent der Neuwagenmodelle sind breiter als zwei Meter! Wer nicht nachmisst, riskiert ein Bußgeld.
Chefs versagen im zwischenmenschlichen Umgang
Vielen Führungskräften fehlt es an Empathie im Umgang mit ihren Mitarbeitern und sie erfüllen ihre Aufgaben nicht effektiv. Zu diesem ernüchternden Ergebnis kommt eine Studie des Beratungsunternehmens Development Dimensions International (DDI).
» Bundesliga-Tippspiel 2011
