Tabnapping: Neuer Angriff nutzt Tabbed Browsing

**Annika_Kremer** · 25. 05. 2010, 18:45

Aza Raskin, ein führender Firefox-Entwickler, warnte kürzlich vor einem neuartigen Phishing-Angriff. Dieser nutzt das Verhalten vieler Benutzer beim Tabbed Browsing aus.

zur News

CocoonBeats · 25. 05. 2010, 19:07

Und mal wieder schlägt NoScript jede Bedrohung hinweg

DasFragezeichen · 25. 05. 2010, 19:12

Das gilt aber nicht, wenn die Seite generell freigegeben ist und eine eigentlich legitime Seite ein Frame untergeschoben bekommt.

**Sm0KeHeaD** · 25. 05. 2010, 19:15

würde einen angriff gerne mal in aktion sehen vor allem in kombination mit dem css browser history "exploit".
das wär echt saucool

**xzeNji** · 25. 05. 2010, 19:35

Zitat von DasFragezeichen

Das gilt aber nicht, wenn die Seite generell freigegeben ist und eine eigentlich legitime Seite ein Frame untergeschoben bekommt.

Temporär erlauben hilft dann.

EDIT: Auch nicht, stimmt ja...

**nickNr5** · 25. 05. 2010, 19:47

Wie wäre es mit Seite zu machen? Ich hab selten mehr als 5 Tabs länger als 5 min auf.
Und die History des Browsers, berichtigt mich, aber die hat nix mit den Leesezeichen zu tun, oder? Dann hab ich keine die länger reicht als die Sitzung. Mal wieder kein wirklicher Angriff gegen mich.

**napfel** · 25. 05. 2010, 20:20

Warum hat Javascript überhaupt zugriff auf solche Sachen lol?

**Moep2k7** · 25. 05. 2010, 21:47

Ich hab selten mehr als 2 Tabs offen. Und wenn dann meist nur kurz.

Aber ich hab schon von Leuten gelesen die Tabbing exzessiv nutzen und z.T. 20 Tabs und mehr offen haben (was auch immer das bringen mag).
Da wirds dann spaßig

**Goldsteal** · 25. 05. 2010, 21:53

Selbst mal ganz ohne gleich Daten haben zu wollen und unaufällig zu sein.
Damit könnte man eine Menge Geld verdienen...

**Novgorod** · 25. 05. 2010, 23:02

Zitat von DasFragezeichen

Das gilt aber nicht, wenn die Seite generell freigegeben ist und eine eigentlich legitime Seite ein Frame untergeschoben bekommt.

das frame kommt aber von einem nicht legitimen server und BÄM das wars dann.. ich kann ja gulli.com erlauben aber den ganzen eingebundenen werbemist von drittservern blocken - das ist ein hauptzweck von noscript..

ansonsten wieder mal so ein idioten-exploit.. man kehrt also nach stunden zu nem tab zurück, den man irgendwann mal aufgemacht hat, und fragt sich auch garnicht "hmm, wieso hab ich diesen tab auf der login-seite meiner bank stehenlassen? war ich da überhaupt schon mal drauf heute?" - stattdessen tut man brav, was der PC einem sagt, oder wie?

also ich kann mir nicht vorstellen, dass diese methode erfolgreicher sein soll als jede beliebige "komm-auf-meine-seite-und-gib-deine-logindaten-ein"-attacke..

**wsdf3et32** · 26. 05. 2010, 00:59

Zitat von Moep2k7

Ich hab selten mehr als 2 Tabs offen. Und wenn dann meist nur kurz.

Aber ich hab schon von Leuten gelesen die Tabbing exzessiv nutzen und z.T. 20 Tabs und mehr offen haben (was auch immer das bringen mag).
Da wirds dann spaßig

Ich zum Beispiel und auch viele andere die ich kenne! Bei mir sind immer 20-30 Tabs offen. Das hat verschiedene Gründe. Erstens ist es wesentlich angenehmer als die Seiten jedem mal komplett neu aufzurufen und zweitens gibt es auch Seiten die man offen lassen muss um informiert zu bleiben oder sonstige Aktivitäten zu erhalten. Zum Beispiel sind bei mir mindestens immer 10-15 Tabs von diversen Bords bzw. Foren offen auf denen ich regelmäßig unterwegs bin. Wenn man etwas aufpasst dann kann einem mit Tabbing nichts passieren. Mir wären ansonsten keine besonderen Nachteile bekannt warum man nicht mehr als 5 Seiten offen haben sollte.

**wolfkid** · 26. 05. 2010, 01:49

So wichtig wirst du wohl nicht sein, dass du in alle Boards im Minutentakt nach neuen Threads schauen musst.

Aber ganz verkehrt ist es eigentlich nicht. Wenn man etwas sucht oder nur mal hier bei g:b stöbert, kommen schon ein paar Tabs zusammen.
Aber eigentlich sollte man dann schon merken, wenn ein böses Javascript auf eine böse Seite umleitet.
Spätestens, wenn dann Benutzerdaten einzugeben sind, sollte man vielleicht aufmerksam werden.

Und was Javascript überhaupt angeht. Ääh ja... wäre das Abschalten nicht so lästig, würde ich nicht NoScript benutzen.

Deswegen mag ich auch keine Websites, die nicht ohne Flash, Flashvideos oder eben Javascript auskommen.

**wsdf3et32** · 26. 05. 2010, 02:09

Keine Ahnung was meine Wichtigkeit damit zu tun haben sollte wie oft ich Boards durchsehe.

Was Javascript anbelangt, ich finde das ist eine feine Sache. Klar kann das auch missbraucht werden und man kann damit unschöne Dinge anstellen aber wer aufpasst dem kann in der Regel nichts passieren. Javascript hat schon seine Daseinsberechtigung. Klar ist es nicht verkehrt wenn eine Seite mit Javascript alternativ auch ohne auskommen kann. Aber es gibt genauso gut Seiten welche ich mir ohne Javascript kaum vorstellen könnte. Das erleichtert einem schon einiges und manche Funktionen lassen sich derzeit eben nur mit Javascript realisieren.

**epiphora** · 26. 05. 2010, 02:19

Zitat von napfel

Warum hat Javascript überhaupt zugriff auf solche Sachen lol?

Das frage ich mich auch. Man muss das Javascript erst mal in die Website einschleusen, bevor man es nutzen kann.

Und bevor man sich einloggt, sollte man die URL auf Korrektheit prüfen. Nicht nach dem Öffnen des Tabs.

**Farzi** · 26. 05. 2010, 10:14

Als alter Opera-Nutzer mit meist um die 50 offenen Tabs, sehe ich diese Angriffsmethode eher gelassen. Die meisten dieser Tabs haben kein JavaScript. Sicherheitsrelevante Seiten (beispielsweise Online-Banking) bleiben immer schon nicht offen, sondern werden nach dem Ausloggen sofort geschlossen. Vor dem Einloggen prüfe ich gewohnheitsmäßig generell immer die URL der Site.

Aber es stimmt schon: Die ahnungslosen Leute, die beim Thema IT-Sicherheit nur mit den Achseln zucken - also mehr als die Hälfte aller Browser-Nutzer - werden damit vermutlich reihenweise reingelegt. Vieleicht ändert sich irgendwann mal das Sicherheitsbewusstsein der Leute in die Richtung, dass sie weniger angst vor obskurem Terrorismus, als vor ganz realem Phishing und Datendiebstahl haben...

**wsdf3et32** · 26. 05. 2010, 12:08

Wobei man auch sagen muss das bei SSL und durch Zertifikate geschützte Seiten wie Online-Banking wohl kaum so zu manipulieren sind und wenn dann würde doch beim umleiten auf eine andere Seite das Zertifikat verloren gehen was man spätestens dann sehen würde.

**Annika_Kremer** · 26. 05. 2010, 14:58

Wegen der Tabs: 20 waren bei mir früher auch keine Seltenheit, 40 kamen auch schonmal vor. Seit ich von Opera auf Safari umgestiegen bin, beschränke ich mich meistens auf die 12, die sich ohne nerviges Hin- und Herblättern darstellen lassen. Momentan habe ich neun Tabs offen.

**wsdf3et32** · 26. 05. 2010, 17:10

Habe hier auch gerade 26 mit Opera offen! Was meinst du mit:

die sich ohne nerviges Hin- und Herblättern darstellen lassen.

Bei Opera kann man das seit Version 10 auch falls es das ist was ich vermute was du meinst.

**LoL-O_Mat** · 26. 05. 2010, 17:37

Zitat von napfel

Warum hat Javascript überhaupt zugriff auf solche Sachen lol?

Stimmt, warum ist es mit JS bloß möglich, Seiteninhalte zu ändern? Unerhört!

**wsdf3et32** · 26. 05. 2010, 17:53

Zitat von LoL-O_Mat

Stimmt, warum ist es mit JS bloß möglich, Seiteninhalte zu ändern? Unerhört!

Ich denke mal er meinte wohl eher warum JS u.a. Zugriff auf die Browser-History usw. hat und nicht auf Seiteninhalte. Ansonsten wäre es echt peinlich...