Re: Benutzeranmeldung über Bookmark - Übertragungsrisiko?

Maik Zumstrull <maik@xxxxxxxxxxxxx>:
Juergen P. Meier wrote:

Dass das ein Sicherheitsrisiko in Bezug auf die auf dem Gerät
gespeicherten Daten ist, ist klar.

Aktive Inhalte koennen die Bookmark im Browser auslesen. Obiges ist
auch u.U. in der History zu finden, wenn der Browser HTTPS-URLs nicht
rausfiltert.

Was für "aktive Inhalte" meinst du genau? Weder Flash noch Javascript
lassen zu, dass man Bookmarks oder History ausliest, von eventuellen
Implementierungsfehlern mal abgesehen. Möglich ist lediglich, mit einem
Javascript+CSS-Hack, für eine bereits bekannte URL zu prüfen, ob sie in
der History steht -- dafür müsste man aber hier Benutzername und
Passwort schon kennen, es hilft einem also nicht dabei, sie
herauszufinden.

Du kannst aus ActiveX heraus ebenso wie aus Java-Applets beliebig aufs
Dateisystem zugreifen (nachdem der Benutzer den Pawlovschen
Ok-Klick-Reflex ausgeuebt hat) und die Bookmarks einfach auslesen.
(Beliebig fuer Werte dessen, was der Benutzer des Browsers kann)
Das funktionert dann mit jedem Browser, egal wie sicher er sonst ist.

Und Flash hat neuerdings ja auch regulaere File/IO Funktionen, nicht
nur die von diversen Exploits misbrauchten. (Hat Adobe den
aktuellen Flash-Player denn schon upgedatet?) Und der konditionierte
"Ok"-Klickende DAU wird diese Freigabe auch erteilen.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
.

Relevant Pages

  • Re: Rubyscript instead of javascript
    ... Here is just a small excerpt of the languages that target ECMAScript: ... This not a problem if you explicitly target Mono. ... I still very much like the idea of piggybacking on Flash, ... box, including the browser. ...
    (comp.lang.ruby)
  • Re: Vexille
    ... before you start worrying about freakin' typography. ... You may assume that if I care, I have set up my browser ... in the case of a Flash site. ... I set up my browser so that tabs pop up in the background. ...
    (rec.arts.anime.misc)
  • Re: Vexille
    ... before you start worrying about freakin' typography. ... You may assume that if I care, I have set up my browser ... Right now only Flash can do this. ... I set up my browser so that tabs pop up in the background. ...
    (rec.arts.anime.misc)
  • Re: Technical question
    ... because windows are a component of the browser, Flash must communicate ... "Freedom, true freedom, is nothing more than intellectual advantage over others." ...
    (alt.2600)
  • Re: Bookmarks across browsers
    ... Something like an XML file maybe? ... one thing you could do would be to find the bookmarks ... letting you access it from that browser. ... in an xml file (XBEL format?) and Iceweasel complains about the absence ...
    (Debian-User)