Firefox will endlich alte Sicherheitslücke schließen

[DieJulia]

Nach über zehn Jahren soll die bekannte CSS-Sicherheitslücke der großen Browser bei Firefox nun endlich geschlossen werden.

zur News

[LoL-O_Mat]

Irgendwie passt die Überschrift nicht, denn Firefox kann nichts fixen. Genau so wenig wie der IE, Windows oder der Golf in der Garage. Denn sie alle sind nur Produkte.

[Exterminans]

Problematisch ist auch die Art des Fixes, denn in dem Fall hat man es ja nicht mit einer Sicherheitslücke im Sinne eines Exploits zu tun, sondern einem Konzeptfehler in CSS den man jetzt dadurch behebt dass man div. Standards verletzt.

[Cayenne]

Und wie genau versucht Mozilla nun, eine Ausnutzung des Konzeptfehlers zu verhindern?

[Gruenkreuz]

Und wie genau versucht Mozilla nun, eine Ausnutzung des Konzeptfehlers zu verhindern?

http://www.heise.de/newsticker/meldu...ck-968556.html

indem sie nur noch bestimmte Attribute für die Pseudoklasse :visited zulassen. Attribute, die entfernte Ressourcen laden (etwa background-image, wird der Browser ignorieren. Außerdem soll die Layout-Engine alle Links in derselben Geschwindigkeit positionieren, sodass Anwendungen kein unterschiedliches Zeitverhalten ausnutzen können. Schließlich wird die JavaScript-Methode getComputedStyle in Zukunft auch für besuchte Links die CSS-Attribute der unbesuchten liefern.

[danker]

Der Artikel gibt leider sehr wenig Einblick in die eigentliche Problematik.

Es wird darauf hingewiesen das dieses Problem tief in der Browser Architektur steckt.

In wie weit sind die "anderen" Browser davon betroffen?

[LoL-O_Mat]

In wie weit sind die "anderen" Browser davon betroffen?

Es ist ein vollkommen Browserunabhängiges Problem, da es darauf beruht, dass besuchte Links anders dargestellt werden, als unbesuchte.

http://ha.ckers.org/weird/CSS-history-hack.html

[Cayenne]

Danke dir, Gruenkreuz!

In wie weit sind die "anderen" Browser davon betroffen?

Steht doch im Artikel, gleich zu Beginn:

Die Firefox-Entwickler erklärten gerade, sie seien kurz davor, eine Sicherheitslücke zu schließen, die jeden populären Browser seit mindestens zehn Jahren plagt.

[Loooki]

Seit über 10 Jahren? So lang gibts den Feuerfuchs noch garnicht

[setamagiga]

2 Schneidige Sache... Standarts ausernandernehmen ist aber fast immer das Schlimmere übel... nja mal schaun...

[csLestard]

2 Schneidige Sache... Standarts ausernandernehmen ist aber fast immer das Schlimmere übel... nja mal schaun...

Wieso Standards auseinander nehmen? Im Standard steht doch, dass Browserhersteller Links mit visited-Eigenschaft sehr wohl auch als normale Links darstellen können oder dass sie eigene Möglichkeiten implementieren, um besuchte Links gesondert darzustellen.
Und genau das macht Mozilla jetz.

[OerkelusTotalus]

www.didyouwatchporn.com

Ist doch ne superpraktische Angelegenheit.

[Khargoth]

Seit über 10 Jahren? So lang gibts den Feuerfuchs noch garnicht

eine sicherheitslücke die seit 10 jahren bei den großen browsern besteht, also anfangs wohl beim IE

[BlackNexxus]

Wie kann denn das Abschalten von JS helfen? Das "Feature" kann man auf der Clientseite rein mit CSS umsetzen.

Edit: Antwort ist, weil scheinbar gerade viele JS-Implementierungen zum Ausnutzen im Umlauf sind. Es kann aber auch auf Serverseite für jeden Link eine eindeutige URL generiert und ins CSS eingebaut werden, damit sie ggf. abgerufen wird. Dann muss nur noch überprüft werden welche der URL abgerufen wurden und welche nicht. Daher bringt das Abschalten von JS keinen vollständigen Schutz bei diesem Problem.

Dank des Posts unter mir weiß ich auch wieder, warum es über 5 Jahre zu meinem 1. Beitrag hier gedauert hat. Bis in 5 Jahren dann

[Cayenne]

Ist doch ne superpraktische Angelegenheit.

Die Seite dürfte wohl eher schlicht die Browser History auslesen, als einen Konzeptfehler in CSS ausnutzen ...

Achja, sinnvoller Beitrag, sorry ...

[OerkelusTotalus]

Nein, handelt sich um genau diese thematisierte CSS-Schwachstelle.

Aus der FAQ der Seite:

Relaaaax. We don't have real access to your browser history. But what we can do, is check it against a list of sites by taking advantage of a CSS information leak. Your browser colors visited links differently than non-visited links, so all we do is loop through the most popular porn sites and check the link color. It's not perfect but it gets us pretty far. Far enough to bust your ass.

zum Thema: Ich find's sehr gut, dass sich mit diesem eklatanten Mangel endlich mal beschäftigt wird. Einer muss ja den Anfang machen. Damit kann man schon viel Unsinn treiben.

[LoL-O_Mat]

Die Seite dürfte wohl eher schlicht die Browser History auslesen, als einen Konzeptfehler in CSS ausnutzen ...

Und wie wird wohl die History ausgelesen?

[Cayenne]

Und wie wird wohl die History ausgelesen?

Ich hätte auf das gute, alte JavaScript getippt - das ist ja für so etwas immer zu haben.

Aber nett, dass ihr das hier: "Achja, sinnvoller Beitrag, sorry ... " auch über 9 Stunden nach Hinzufügen wunderbar ignoriert, bezog sich nämlich auf meinen eigenen Beitrag.

[LoL-O_Mat]

Ich hätte auf das gute, alte JavaScript getippt - das ist ja für so etwas immer zu haben.

JS bietet ja AFAIK nix, was in die Richtung gehen könnte...

Aber nett, dass ihr das hier: "Achja, sinnvoller Beitrag, sorry ... " auch über 9 Stunden nach Hinzufügen wunderbar ignoriert, bezog sich nämlich auf meinen eigenen Beitrag.

Dafür müsste man auch wissen, wie das gemeint war

[Cayenne]

JS bietet ja AFAIK nix, was in die Richtung gehen könnte...

Korrekt, habe nochmal nachgeschaut. Habe mich damit bislang nie großartig beschäftigt, da ich es nie gebraucht habe. Hachja, manchmal liiiebe ich ein bisschen ordentliches Halbwissen.

Dafür müsste man auch wissen, wie das gemeint war

Deshalb stand's ja auch im nächsten Beitrag dabei. War ja nicht böse (gemeint), sonst hätte ich das anders ausgedrückt.

So, Schluss jetzt. Fakt: JS macht das nicht mit - umso besser!