1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Browser: preventDefault…

immer ein bisschen an den Haaren herbeigezogen

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. immer ein bisschen an den Haaren herbeigezogen

    Autor: Polecat42 04.12.12 - 10:44

    ja, OK, stimmt, "theoretisch" ist es eine Sicherheitslücke und darf nicht sein.

    Ich finde aber häufig, dass bei Lücken die Szenarien zum Ausnutzen immer etwas an den Haaren herbeigezogen sind.

    Nehmen wir dieses Beispiel, Nutzer wird auf Seite gelockt, auf der er eingeladen wird, mittels Suche zu testen, ob sein Passwort in einer Liste auftaucht.

    Für einen Dau würde es auch reichen, ein Eingabefeld zu servieren, für das steht "Bitte geben Sie ihr Kennwort ein, damit wir verschlüsselt (haha) prüfen können, ob ihr Kennwort bekannt ist".

    Und im Gegensatz dazu wird ein erfahrener Benutzer ohnehin wissen, dass die ganze Aktion etwas seltsam aussieht.
    Den o.g. Dau zeichnet übrigens aus, dass ihm garnicht klar ist, dass es etwas wie Strg+F gibt.

    Es gibt natürlich Verfeinerungen im Nutzerverhalten; ich denke aber dennoch: in der Praxis gibt es noch tausend andere Sachen.

    Ich habe beispielsweise mal in unserer "Online-AG" damals aus Spaß an der Freude mit HTML den Windows98-Einwahldialog nachgebaut. Als ich den so gesehen hatte, dachte ich mir: "höhö, da könnte man ja jetzt schreiben, man solle bitte sein T-Online-Kennwort eingeben um sich erneut einzuwählen".

    Also wie gesagt: Phishing ist seeehr einfach, auch ohne "Sicherheitslücken" die auf derart komplizierte Weise überhaupt erst zur Lücke werden...

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. SAP Consultant (m/w/d) FI/CO/PS
    Universitätsklinikum Regensburg, Regensburg
  2. DevOps Software Engineer im Bereich "Software Factory" (m/w / divers)
    Continental AG, Frankfurt
  3. Scientific IT Gruppenleitung (m/w/d)
    Fraunhofer-Institut für Kurzzeitdynamik, Ernst-Mach-Institut EMI, Freiburg
  4. DevOps/IT Operations Engineer (w/m/d) Container Platform
    ING Deutschland, Nürnberg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de