1. Foren
  2. » Kommentare
  3. » Security
  4. » Alle Kommentare zum Artikel
  5. » OpenX-Server: BSI warnt vor…

Dabei gehen Werbebanner auch ohne Skripts und ohne Cookies.

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Dabei gehen Werbebanner auch ohne Skripts und ohne Cookies.

    Autor Spaghetticode 19.01.13 - 16:40

    In der Seite, wo der Werbeanbieter eingebunden werden soll, einfach einen IFrame einbinden lassen:

    <iframe src="//werbeanbieter.example.com/banners/Oj387LH1SdzZ07MWMVT9c5vxL2XQLV" sandbox="" width="300" height="250"></iframe>

    Dank des sandbox-Attributes wird die Ausführung von Skripts und Plugins verhindert.

    Der IFrame beinhaltet an Inhalt nur:

    <a href="/click/XBVsQpwGt5Ew21FGBxFKdD0cvSq89n" target="_blank"><img src="/image/XBVsQpwGt5Ew21FGBxFKdD0cvSq89n" alt="Beschreibung der Werbung" title="" width="300" height="250" /></a>

    Und das Verweisziel ist eine Weiterleitung auf die Seite des Werbenden.

    Der Werbeanbieter kann auf Skripts und Cookies verzichten. Und damit werden die Besucher der ursprünglichen Seiten vor Skripts, die möglicherweise durch Schadfunktionen erweitert sein können, bewahrt. Schadsoftware kann sich nur möglicherweise der einfangen, der auch den Werbebanner aktiv anklickt.



    Aber was sehen wir auf der Ursprungsseite in der Realität?

    <script src="//werbeanbieter.example.com/banners/Oj387LH1SdzZ07MWMVT9c5vxL2XQLV/banner.js"></script>

    Ein Skript. Wenn ein Hacker auf dem Werbeserver einbricht, wird auch jeder Besucher der ursprünglichen Seite (außer die, die irgendwelche Blocker benutzen) mit dem Schadcode konfrontiert. Man kann da nur hoffen, dass die Besucher alle Updates eingespielt haben und es kein Zero-Day-Exploit ist.

    ___________________________________________________
    Dieser Benutzer besitzt ein paar Coinadressen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Dabei gehen Werbebanner auch ohne Skripts und ohne Cookies.

    Autor kn3rd 19.01.13 - 19:10

    Lieber Experte, es ist sowohl als Seitenbetreiber als auch als Werbekunde wichtig eine Auswertung über Werbekampagnen zu erhalten, welche Werbung wurde wann angezeigt und wie oft haben Leute geklickt. Dein Beitrag ließt sich so als würdest du Mathematikern vorschlagen sich nicht den Kopf über höhere Mathematik zu zerbrechen, es gibt doch auch das kleine 1x1.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Dabei gehen Werbebanner auch ohne Skripts und ohne Cookies.

    Autor Spaghetticode 19.01.13 - 19:54

    kn3rd schrieb:
    --------------------------------------------------------------------------------
    > welche Werbung wurde wann angezeigt und wie oft haben Leute geklickt.
    Dazu braucht man doch kein Javascript. Das kann bzw. muss man über eine serverseitige Skriptsprache wie PHP, ASPX oder JSP machen (denn Javascript alleine ist nicht in der Lage, irgendeinen Schreibzugriff auf dem Server auszulösen). Diese serverseitige Skriptsprache ist auch in der Lage, irgendwelche Statistiken zu erstellen.

    > Dein Beitrag ließt sich so als würdest du Mathematikern vorschlagen sich nicht den
    > Kopf über höhere Mathematik zu zerbrechen, es gibt doch auch das kleine 1x1.
    Bei manchen Aufgabenstellungen wäre auch das kleine Einmaleins ausreichend.

    ___________________________________________________
    Dieser Benutzer besitzt ein paar Coinadressen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Dabei gehen Werbebanner auch ohne Skripts und ohne Cookies.

    Autor Moe479 20.01.13 - 05:32

    das problem ist, dass die werbe anbitern ihren werbenden sitebetreibern weniger vertrauen als derm der die werbung sehen soll ... um es mal diplomatisch auszudrücken, genau möchten die sitebetreiber aber auch ihren teuren platz nicht für werbung hergegeben die ihre besucher nicht interessiert/abschreckt/weniger einnahmen generiert.

    das problem der kompromitierung liegt öfter bei den betreibern der banner-netzwerke, hier scheint es vereine zu geben die sogut wie garnicht kontrollieren und wenig in die sicherheit investieren.

    gegen beide kompromittierungen können, sofern geschehen, erkannt und nachweisbar, besucher und ggf. site betreiber einfach gesetzlich vorgehen, das ist letzendlich der weg um schadensersatz zu fordern und villeict auch zu bekommen.

    grundsätzlich halte ich aber von diesen 'countern' wenig, geschickt platzierte werbung führt auch zu false positives bei den klicks, die potziellen kunden die 'versehentlich' geklickt haben sind oft dannach keine potenziellen kunden mehr von der site mit dem banner und dem target damit letztendlich auch dem bannerdienst ... da gibt es dann nur verlierer bei ... zumindest ist das so bei mir ... ;D

    man kann auch ganz nach alter schule einen einen betrag für eine banner-schaltung mit dem sitebetreiber aushandeln und dann den absatz beim auftraggeber im gegensatz zur vorangegangenen nicht-schaltung beobachten ... und so den erfolg (kosten und nutzen) der kampangne bemessen ... damit seine interessierten sitebetreiber und deren kundschaft einstufen für den vermutlichen erfolg folgender kampangnien ... darüber den preis für den der werbung schalten will festlegen.

    das geht natürlich nicht so schön voll automatisiert, erfordert menschen mit andauender einsatzbereitschaft, gespür und köpfchen für die sache ... die kosten natürlich auch ... ist aber angenehmere weg auf der bedingt durch die kosten auch zu angenehmeren ergebnissen führt, gelegentliche ausreißer bestätigen das nur.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Dabei gehen Werbebanner auch ohne Skripts und ohne Cookies.

    Autor kn3rd 20.01.13 - 15:14

    Man sieht, dass die wenigsten hier im Forum mal mehr als einen Blog erstellt und betrieben haben.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Dabei gehen Werbebanner auch ohne Skripts und ohne Cookies.

    Autor dEEkAy 20.01.13 - 16:30

    kn3rd schrieb:
    --------------------------------------------------------------------------------
    > Man sieht, dass die wenigsten hier im Forum mal mehr als einen Blog
    > erstellt und betrieben haben.


    Einen Blog erstellen qualifiziert einen also genau wofür? Bei wordpress oder sonst wo anmelden und los gehts... wow.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Dabei gehen Werbebanner auch ohne Skripts und ohne Cookies.

    Autor kn3rd 20.01.13 - 20:53

    dEEkAy schrieb:
    --------------------------------------------------------------------------------
    > kn3rd schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Man sieht, dass die wenigsten hier im Forum mal mehr als einen Blog
    > > erstellt und betrieben haben.
    >
    > Einen Blog erstellen qualifiziert einen also genau wofür? Bei wordpress
    > oder sonst wo anmelden und los gehts... wow.

    Und wenn dazu noch Leseschwäche kommt ... genau das habe ich in meinem Kommentar gesagt.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: Dabei gehen Werbebanner auch ohne Skripts und ohne Cookies.

    Autor dEEkAy 20.01.13 - 22:07

    kn3rd schrieb:
    --------------------------------------------------------------------------------
    > dEEkAy schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > kn3rd schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Man sieht, dass die wenigsten hier im Forum mal mehr als einen Blog
    > > > erstellt und betrieben haben.
    > >
    > >
    > > Einen Blog erstellen qualifiziert einen also genau wofür? Bei wordpress
    > > oder sonst wo anmelden und los gehts... wow.
    >
    > Und wenn dazu noch Leseschwäche kommt ... genau das habe ich in meinem
    > Kommentar gesagt.


    Wow ja ich seh's, hab das wohl komplett falsch verstanden.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Owncloud: Dropbox-Alternative fürs Heimnetzwerk
Owncloud
Dropbox-Alternative fürs Heimnetzwerk

Kaputte Zertifikate durch Heartbleed und der NSA-Skandal: Es gibt genügend Gründe, seinen eigenen Cloud-Speicher einzurichten. Wir erklären mit Owncloud auf einem Raspberry Pi, wie das funktioniert.


Cortana im Test: Gebt Windows Phone eine Stimme
Cortana im Test
Gebt Windows Phone eine Stimme

Mit Windows Phone 8.1 bringt Microsoft nicht nur lange vermisste Funktionen wie die zentrale Benachrichtigungsübersicht auf das Smartphone, sondern auch die Sprachassistentin Cortana. Diese kann den Alltag tatsächlich erleichtern - und singen.

  1. Smartphones Nokia und HTC planen Updates auf Windows Phone 8.1
  2. Ativ SE Samsungs neues Smartphone mit Windows Phone
  3. Microsoft Internet Explorer 11 für Windows Phone

Wolfenstein The New Order: "Als Ein-Mann-Armee gegen eine Übermacht"
Wolfenstein The New Order
"Als Ein-Mann-Armee gegen eine Übermacht"

B. J. Blazkowicz muss demnächst wieder die Welt retten - in einem Wolfenstein aus Schweden. Im Interview hat Golem.de mit Andreas Öjerfors, dem Senior Gameplay Designer, über verbotene Inhalte, die KI und Filmvorbilder von The New Order gesprochen.

  1. The New Order Wolfenstein erscheint ohne inhaltliche Schnitte
  2. Wolfenstein angespielt Agent Blazkowicz in historischer Mission
  3. Bethesda Zugang zur Doom-Beta führt über Wolfenstein

  1. Verband: "Uber-Verbot ruiniert Ruf der Startup-Stadt Berlin"
    Verband
    "Uber-Verbot ruiniert Ruf der Startup-Stadt Berlin"

    Eine einstweilige Verfügung gegen Uber und zuvor ein Gesetz über das Verbot der Zweckentfremdung von Wohnraum, dass 9flats aus der Stadt vertrieb. Der Startup-Verband fragt: "Wer gründet schon ein Unternehmen in Berlin, wenn er mit Verbot rechnen muss?"

  2. Kabel Deutschland: 2.000 Haushalte zwei Tage von Kabelschaden betroffen
    Kabel Deutschland
    2.000 Haushalte zwei Tage von Kabelschaden betroffen

    Durch einen Kabelschaden waren zweitausend Haushalte vom Netz von Kabel Deutschland getrennt. Über der Schadensstelle hatte ein parkender Wagen die Arbeiten behindert.

  3. Cridex-Trojaner: Hamburger Senat bestätigt großen Schaden durch Malware
    Cridex-Trojaner
    Hamburger Senat bestätigt großen Schaden durch Malware

    Hundertfünfzig Rechner in der Hamburger Verwaltung sind im Januar 2014 tagelang durch den Cridex-Trojaner lahmgelegt worden. Das hat der Senat bestätigt. Der Trojaner installiert auch einen Keylogger, doch einen Datenverlust hat es angeblich nicht gegeben.


  1. 20:20

  2. 19:26

  3. 19:02

  4. 17:52

  5. 17:10

  6. 17:02

  7. 17:00

  8. 16:22