« vorheriges nächstes »
Seiten: [1]   Nach unten

Autor Thema: Mozilla & Co: Webseiten lesen lokale Dateien  (Gelesen 1100 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline Jürgen

  • der Löter
  • User a.D.
  • ****
  • Beiträge: 4999
  • white LED trough prism - WTF is cyan?
Mozilla & Co: Webseiten lesen lokale Dateien
« am: 07 Dezember, 2004, 13:33 »
Giovanni Delvecchio weist in einem Posting auf der Sicherheits-Mailingliste Full Disclosure auf ein mögliches Problem der alternativen Browser der Mozilla-Foundation und des norwegischen Software-Herstellers Opera hin: Über einen Trick können Webseiten lokale Dateien ausspionieren.

Um lokale Dateien via file://-URL öffnen zu können, muss ein HTML-Dokument ebenfalls vom lokalen Rechner stammen -- externen Webseiten ist der Zugriff eigentlich untersagt. Um diese Sperre zu umgehen, kann ein Web-Server eine Datei mit einem unbekannten Dateityp versehen. Wählt der Anwender im Dialog "Öffnen" mit dem Browser, wird die Datei lokal zwischengespeichert und dann mit den lokalen Rechten geöffnet. Antwortet der Anwender "Speichern" und öffnet die Datei später, gilt natürlich dasselbe. Nun kann die HTML-Datei eine lokale Datei in einen IFrame einbetten und über JavaScript an einen externen Server übertragen. Auch Pfade und Verzeichnisstrukturen kann das Skript ermitteln. Das funktioniert laut Delvecchio mit Mozilla, Firefox und Opera -- unabhängig vom Betriebssystem; unter Linux gleichermaßen wie unter Windows.

Delvecchio gelang es nicht, auf diesem Weg auch mit dem Internet Explorer lokale Dateien auszulesen. Warum der Microsoft-Browser gegen diesen Trick immun sein sollte, ist allerdings nicht klar. Schließlich haben gerade in Microsofts Browser lokale HTML-Seiten ganz besondere Rechte. Es wäre nicht überraschend, wenn sich herausstellen sollte, dass sich auch mit dem Internet Explorer auf ähnliche Weise lokale Dateien auslesen lassen.

Delvecchio hat die Entwickler von Mozilla und Opera unterrichtet, aber keine Antwort erhalten. Er ist sich auch selbst nicht sicher, ob es sich tatsächlich um ein Sicherheitsproblem handelt: Schließlich können externe Webseiten nicht direkt auf lokale Dateien zugreifen, sondern müssen den Umweg über eine lokale Zwischenstation nehmen; dem Browser ist dabei eigentlich nichts vorzuwerfen, er verhält sich genau wie vorgesehen. Wer sich selbst einen Eindruck von dem Sachverhalt verschaffen will, kann es mit Mozilla oder Firefox auf dem c't-Browsercheck ausprobieren.

Quelle und Links:
http://www.heise.de/newsticker/meldung/53964

Anmerkung:
Demo funktioniert unter dem aktuellen Firefox  :o
Das sollte man im Auge behalten! Schliesslich wird jede bekannte Lücke früher oder später ausgenutzt, heutzutage immer früher.

Jürgen
« Letzte Änderung: 07 Dezember, 2004, 13:34 von Jürgen »
Kein Support per persönlicher Mitteilung!
Fragen gehören in's Forum.
Veränderungen stehen an. Dies ist der bisherige Stand:
28,x°,23.5°,19,2°,13°Ost,1mØ Multifeed, mit Quattro LNBs; Multiswitches 4x 5/10(+x) - alle ohne Terrestrik und modifiziert für nur ein 12V DC Steckernetzteil (Verbrauch insgesamt 15 Watt)
1mØ mit DiSEqC 1.3/USALS als LNB2 an DVB-S2 STB, aktuell 30°W bis 55°O
1.) FM2A88X Extreme6+, A8-6600K (APU mit 4x 3,9 GHz und Radeon HD8570D), 16GB DDR3 1866, 128GB SSD, 3TB HDD, Win10 x64 Pro 1909 / 10.0.17763.107, Terratec T-Stick Plus (für DAB+), Idle Verbrauch ca. 35 Watt
2.) FM2A75 Pro 4, A8-5600K (APU mit 4x 3,6 GHz und Radeon HD7530D), 8GB DDR3 1600, 128GB SSD, 2TB HDD, Win10 x64 Pro, Idle Verbrauch ca. 45 Watt
3.) Raspberry Pi 512MB u.a. mit Raspbian
4.) GA-MA770-UD3, Phenom II x4 940, 8GB DDR2, Radeon HD6570, 2TiB, USB 3.0, 10 Pro x64 (+ XP Pro 32bit (nur noch offline)), Ubuntu 10.4 64bit, Cinergy S2 USB HD, NOXON DAB+ Stick, MovieBox Plus USB, ...
Samsung LE32B530 + Benq G2412HD @ HDMI 4:2; Tokaï LTL-2202B
XORO HRS-9200 CI+ (DVB-S2); XORO HRT-8720 (DVB-T2 HD)
Empfänger nur für FTA genutzt / ohne Abos
YAMAHA RX-V663 (AV-Receiver); marantz 7MKII; Philips SHP2700 ...
FritzBox 7590 mit VDSL2 50000
Seiten: [1]   Nach oben
« vorheriges nächstes »