Zur Navigation

Mögliches Exploit für Chrome

2 Jörg Kruse

The point I am trying to make here is that you should always be careful about what third-party applications you install

Fragt sich, wie man diese Vorsicht walten lassen soll; das Problem stellt sich sicher nicht nur bei Google Chrome, sondern bei allen erweiterbaren Browsern, wie z.B. auch bei Mozilla Firefox. Man sollte wohl darauf achten, Extensions nur von vertrauenswürdige Adressen herunteruzuladen, wie z.B. addons.mozilla.org. Aber inwieweit werden Erweiterungen dort auch im Vorhinein überprüft?

13.07.2010 20:30

3 Rudy

Anfangs dachte ich dass das bei Firefox sowieso nicht geht, weil der Browser Cross-Site-Ajax in den Standardeinstellungen unterbindet (da bin ich schon mal angeeckt). Augenscheinlich hat sich das seit 3.5 geändert.

So wie sich das liest wird mit dem nun implementierten Origin-Header, den Firefox bei einem Cross-Site Ajax-Request anfügt, nur am Server geprüft, ob der Request von einer bestimmten Domain kommt. Das soll offenbar die Server vor unkontrollierten Anfragen schützen, aber der Nutzer wird nicht gefragt ob er dahin überhaupt was übermitteln möchte. So ganz leuchtet mir das nicht ein... gibt es damit überhaupt mehr Sicherheit für den unbedarften Anwender?

13.07.2010 23:12

4 Jörg Kruse

Jetzt wurde tatsächlich so eine Extension im Downloadbereich von Mozilla geparkt - nachdem der "Mozilla Sniffer" 1800 mal heruntergeladen wurde, wurde er von Mozilla entfernt

heise: Browser-Add-ons spionieren Anwender aus

15.07.2010 13:45

5 Rudy

Womit der Fall dann wohl klar wäre. Bin gespannt ob und wie Google und Mozilla hier für mehr Sicherheit sorgen wollen - das Review-System ist sicher eine sinnvolle Maßnahme welche die offiziellen Seiten sicherer macht, aber ob die reicht?

Entsprechender Schadcode muss ja nicht zwangsweise so offensichtlich in der Erweiterung selber vorhanden sein, der Code könnte auch versteckt, z.B. während den normalen Ajax-Operationen des Plugins vom Server her eingeschleust werden oder beim Besuch bestimmter Seiten, auf die der Plugin-Entwickler Einfluss hat.

Momentan kann man nur davon abraten, mit Erweiterungen allzu sorglos umzugehen und wie Du sagtest nur die vertrauenswürdigsten Quellen wie addons.mozilla.org und chrome.google.com nutzen.

15.07.2010 21:19 | geändert: 15.07.2010 21:25

Beitrag schreiben (als Gast)

Die Antwort wird nach der Überprüfung durch einen Moderator freigeschaltet.





[BBCode-Hilfe]