Wie schaut das aus?
Unser Hilfesystem simuliert einen Webbrowser im Browser, mit Hilfe dessen der Kommandant im virtuellen Internet surfen kann.
Als easteregg und goodie kann man auch das echte Google ansurfen (wird dann im iframe dargestellt).
Nun ist mir aber aufgefallen, dass ja doch ein xss (cross site scripting) risiko bestehen könnte.
Kann ich die Cookies des parents auch domainübergreifend auslesen, aus iframes? Gibt es andere Manipulationsmöglichkeiten? (framegröße ändern, gefakten Login vorspiegeln, Logindaten übernehmen?).
XSS Risiko von iframes?
gepostet vor 19 Jahre, 6 Monate von Kallisti
gepostet vor 19 Jahre, 6 Monate von TheUndeadable
Bei korrekter Implementierung der Browser sollten die Daten fremder Domains sicher sein.
Aber du weißt ja selbst, was viele Browserhersteller/-programmierer unter korrekter Implementierung verstehen.
Phishing ist natürlich möglich, wenn ein Skript aus dem iframe 'ausbricht' und sich in das Top-Frame setzt. Dieses ist unter allen Browsern ohne weiteres möglich (top.location.href). Dort kann dann ein gefaktes Login eingeblendet werden.
Aber du weißt ja selbst, was viele Browserhersteller/-programmierer unter korrekter Implementierung verstehen.
Phishing ist natürlich möglich, wenn ein Skript aus dem iframe 'ausbricht' und sich in das Top-Frame setzt. Dieses ist unter allen Browsern ohne weiteres möglich (top.location.href). Dort kann dann ein gefaktes Login eingeblendet werden.
gepostet vor 19 Jahre, 6 Monate von Kallisti
Ein top location href wäre ja sehr auffällig, weil sich die URL ändert... Es geht eher um den Fall, das diese gleich bleibt - es sind übrigens zwei verschaltelte Iframes...
Kann ein Javascript die URL (das sollte kein Thema sein) und vor allem die Größe / Sichtbarkeit des äußeren Iframes setzen?
Kann ein Javascript die URL (das sollte kein Thema sein) und vor allem die Größe / Sichtbarkeit des äußeren Iframes setzen?
gepostet vor 19 Jahre, 6 Monate von TheUndeadable
Meines Wissens nach:
Nein!
Javascript einer Domain A, darf nicht auf Objekte in einem Fenster von einer anderen Domain B zugreifen. Dazu zählt auch Eigenschaften des iframe selbst, in dem Domain A eingebunden ist.
Exploits sind aber meines Wissens momentan unter nahezu allen Browser verfügbar: http://www.heise.de/security/dienste/browsercheck/demos/popspoof.shtml
Nein!
Javascript einer Domain A, darf nicht auf Objekte in einem Fenster von einer anderen Domain B zugreifen. Dazu zählt auch Eigenschaften des iframe selbst, in dem Domain A eingebunden ist.
Exploits sind aber meines Wissens momentan unter nahezu allen Browser verfügbar: http://www.heise.de/security/dienste/browsercheck/demos/popspoof.shtml
gepostet vor 19 Jahre, 6 Monate von Kallisti
Hmm wenn es klappt, wuerde es ja schon reichen die Adressleiste zu ueberwachen, aber auch da gibt es ja leider Tricks, die einem normalen Anwender niemals auffallen und auch einem versierten nur in Extremfaellen...
siehe z.B. http://ha.ckers.org/xss.html
Werde ich wohl auf das nette Feature verzichten.
siehe z.B. http://ha.ckers.org/xss.html
Werde ich wohl auf das nette Feature verzichten.
gepostet vor 19 Jahre, 6 Monate von woodworker
erstmal XSS hat nur teilweise mit (i)frames zu tun XSS ist vorallem wenn du ungeprüft GET oder POST variablen auf der seite ausgibst
sagen wir mal du hast irgend wo ein echo $_GET['id'] ohne sicherheitsvorkerungen
dann denk sich der böse user hat was aus wie das z.B. seite.php?id=altert('XSS')
und dann hast du das halt in deinem quelltext stehen
per javascript kann natürlich auch durch iframes zugegriffen werden
http://de.wikipedia.org/wiki/Cross-Site_Scripting
sagen wir mal du hast irgend wo ein echo $_GET['id'] ohne sicherheitsvorkerungen
dann denk sich der böse user hat was aus wie das z.B. seite.php?id=altert('XSS')
und dann hast du das halt in deinem quelltext stehen
per javascript kann natürlich auch durch iframes zugegriffen werden
http://de.wikipedia.org/wiki/Cross-Site_Scripting
gepostet vor 19 Jahre, 6 Monate von Kallisti
Woody, ich weiss was xss ist und was man generell darunter versteht.
Es geht mir aber nur um die Risiken und Moeglichkeiten in diesem speziellen Fall.
Es geht mir aber nur um die Risiken und Moeglichkeiten in diesem speziellen Fall.
gepostet vor 19 Jahre, 6 Monate von Chojin
Ich würde darauf tippen das xss bei 80% alle spiele möglich ist.
Bin gerne bereit deines oder andere spiele hierauf zu testen.
grüße
chojin
Bin gerne bereit deines oder andere spiele hierauf zu testen.
grüße
chojin
gepostet vor 19 Jahre, 6 Monate von Kallisti
Gut möglich ich kenne ja nichtmal den gesamten Code bisher selbst... (habe das Spiel übernommen, nachdem die alten Admins keine Zeit mehr hatten).
Diese Sache hier war ziemlich offensichtlich, daher die Frage.
Bei Gelegenheit komme ich aber gern auf dein Angebot zurück.
Diese Sache hier war ziemlich offensichtlich, daher die Frage.
Bei Gelegenheit komme ich aber gern auf dein Angebot zurück.