1008333

Prüfroutine im Browser zum Schutz vor Fälschern

22.11.2008 | 17:14 Uhr |

Aus Sicherheitsgründen darf ein Webbrowser einen Javascript-Code nur ausführen, wenn er von derselben Webseite stammt wie der Rest der Seite.

Dieses Prinzip wird als "same origin policy" bezeichnet. Hinter diesem Begriff steckt eine Prüfung auf drei verschiedene Merkmale: Der Name des Servers muss identisch sein (www.beispiel.net), das verwendete Protokoll (zum Beispiel "http" oder "https") und der Port, über den der Server angesprochen wird (etwa www.beispiel.net:80). Verschiedene Unterverzeichnisse sind aber erlaubt, zum Beispiel können die Seiten auf "www.beispiel.net/html" stehen, das Skript aber bei "www.beispiel.net/skript".

Ist es entgegen dieser Regel möglich, Skripte auszuführen, spricht man von einer Cross-Site-Scripting-Lücke ("XSS"). Auf Facebook hatten Hacker in den Seiten von Alicia Keys zum Beispiel 2007 eine solche Lücke genutzt, um alle Eingaben dort zu protokollieren oder um die Facebook-Zugangsdaten anderer Benutzer auszuspähen.

Same Origin Policy gilt auch für Flash-Skripte in der Sprache "Actionscript". Trotzdem fällt auch die Software von Adobe immer wieder dadurch auf, dass Hacker Sicherheitslücken für XSS-Angriffe nutzen.

0 Kommentare zu diesem Artikel
1008333