FatBobber´s Blog …

News about motorbiking and media …

Schutz vor Browser-Angriffen …

Nutzergenerierte Inhalte werden im Internet bekanntlich immer beliebter. Websites erlauben ihren Usern, Seiten nach eigenen Wünschen zu gestalten und beispielsweise ihre Weblog-Einträge oder Kommentare in sozialen Netzwerken mit HTML-Code zu verschönern. Das Problem: Das Risiko von Online-Angriffen steigt dadurch. Besonders eine auf diese Art mögliche Attacke, das so genannte Cross-Site-Scripting (XSS), bereitet Sicherheitsexperten seit langer Zeit Bauchschmerzen. Damit ist es beispielsweise möglich, Informationen wie Passwörter von Nutzern zu stehlen, die sich auf einer ihnen eigentlich vertrauenswürdig vorkommenden Seite befinden.

Auf dem IEEE-Symposium für Sicherheit und Datenschutz, das in dieser Woche im kalifornischen Oakland stattfindet, werden Forscher der University of Illinois in Chicago eine neue Taktik vorstellen, die XSS-Angriffe künftig verhindern soll. Der Ansatz erlaubt es einem Webserver, genau zu kontrollieren, welche nutzergenerierten Inhalte an einen Browser geschickt werden, um „bösen“ Code zu unterbinden, bevor er sein Opfer erreicht hat.

XSS-Angriffe funktionieren so: Der Browser des Nutzers wird dazu gebracht, ein nicht autorisiertes Miniprogramm auszuführen, das irgendwo in einer scheinbar vertrauenswürdigen Website steckt. Mit einem solchen Script ist es dann beispielsweise möglich, Eingaben abzufangen, darunter auch sensible Informationen.

„Cross-Site-Scripting ist die am häufigsten vorkommende Schwachstelle im Internet“, meint Jeremiah Grossman, Gründer und Technologiechef bei White Hat Security, der die University of Illinois-Studie kennt. „Das ist sozusagen die Kakerlake dieser Industrie.“ Neuere Websites seien zwar besser ausgerüstet, XSS-Attacken abzuwehren. Doch es gebe eben auch noch Millionen von angreifbaren Angeboten. „Wir müssen deshalb Alternativen zum schlichten Ausbessern jeder einzelnen Lücke finden.“

Die Forscher aus Chicago haben deshalb eine neue Software-Schicht entwickelt, die sich Blueprint nennt. Sie wird zwischen nutzergenerierte Inhalte und deren Auslieferung eingeschoben. Die Technik soll mit acht wichtigen Browsern funktionieren, was ungefähr 96 Prozent des aktuellen Marktes abdeckt. Insgesamt 94 Arten von Cross-Site-Scripting-Angriffen, die im Web-Sicherheitsarchiv „XSS Cheat Sheet“ gesammelt werden, wurden gegen Blueprint getestet. Jede einzelne Attacke ließ sich damit abwehren.

Blueprint wird mit wenigen Arbeitsschritten auf dem Webserver eines Angebots installiert, liest ständig nutzergenerierten Code und checkt ihn gegen eine so genannte Whitelist, die vertrauenswürdige Scripts enthält. Möglicherweise schädliche Programmteile werden entfernt, bevor Inhalte im Browser erscheinen. Dann werden die Informationen entsprechend neu formatiert und an den Nutzer übertragen. Blueprint stellt dabei sicher, dass bestimmte Zeichen und Symbole, die manchmal als verbotene Signale an den Browser geschickt werden, nicht mehr vorhanden sind. Ungefährliche Inhalte sollen dagegen ohne Probleme durch den Filter wandern, sagen die Forscher.

Der Kern des Problems, erklärt V. N. Venkatakrishnan, Juniorprofessor für Computerwissenschaften, der an dem Projekt beteiligt war, liege darin, dass Browser einst dafür entwickelt worden seien, auch mit schlecht programmierten Webseiten umzugehen. „Sie versuchen, selbst unschön gestaltete Inhalte so gut wie möglich darzustellen.“

Mit den Jahren entwickelten die verschiedenen Browser ihre eigenen Methoden, mit solchen Problemfällen klarzukommen. Angreifer können das ausnutzen, in dem sie HTML-Code integrieren, der im richtigen Browser direkt als Code ausgeführt wird. „Das macht das Problem, HTML-Inhalte auf solche Scripts zu filtern, sehr, sehr schwierig“, sagt Venkatakrishnan. Derzeit arbeite die Industrie deshalb daran, Browser anders aufzubauen, doch bis es soweit sei, müsse eine andere Lösung her.

„Wir wollen dem unzuverlässigen Parser, der im Browser steckt und HTML-Seiten interpretiert, die Möglichkeit nehmen, selbst zu entscheiden, was ein Script ist und was nicht, wenn nicht vertrauenswürdige Inhalte von einer Webanwendung ausgeliefert werden“, so Venkatakrishnan.

Robert Hansen, Chef und Gründer des Internet-Sicherheitsunternehmens SecTheory, das das „XSS Cheat Sheet“-Archiv betreut, gibt allerdings zu bedenken, dass Blueprint zwar die großen Cross-Site-Scripting-Gefahren behebe, aber eben nicht alle. „Es ist gibt noch andere Wege, unerwünschte Dinge innerhalb eines Browsers zur Ausführung zu bringen, und das wird davon leider noch nicht abgedeckt.“

Außerdem würden Inhalte geschützt, indem sie in ein Script gepackt werden, das Suchmaschinen nicht lesen könnten. „Es ist kein Allheilmittel, aber genau darum geht es ja.“ Hansen glaubt deshalb, dass XSS-Angriffe ein zu komplexes Problem seien, als sie außerhalb des Browsers zu lösen. Genau dieser müsse in seiner Arbeitsweise verändert werden.

Quelle:

Erica Naone

Posted via web from Superglide’s Personal Blog …

19. Mai 2009 - Posted by | Uncategorized

Es gibt noch keine Kommentare.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: