Ich weis wo Du angemeldet bist

Kommentieren May 03 2011

 

Viele finden es ja toll immer und überall angemeldet zu sein. Ob es nun Facebook, Twitter, reddit oder digg ist. Hauptsache online.

Nun kommt aber das “Problem”.
Als Client wird der Browser verwendent. Eine Anwendung für alles. Im Grunde nichts schlechtes. Aber im Grunde ein totales Sicherheitsrisiko.

Warum ?
Nun, wenn Alles über eine Anwendung läuft hat man auch einen Angriffspunkt. Alles aus einer Quelle. Alles Websites die alle über eine Art und Weise kommunizieren.
Zusammen eine große Angriffsfläche. Zu groß.

Nun ist die Wahrscheinlichkeit in so einer “Social Community” angemeldet zu sein, durch die weite Verbreitung, sehr hoch.
Nun muss der Angreifer mit einer präparierten Webseite ( verteilt via Spam ) seinen Code ausführen und bekommt den Status ob man in einer Social Community angemeldet ist oder nicht.

Was hat man von dieser Information ?
Durch die weite Verbreitung lohnt es sich für eine Social Community einen Virus zu schreiben.
Wenn dieser Erfolg hat und der Spam ankommt, hat man eine sehr zuverlässige neue Tür geöffnet.
( Da man ja fast schon gezwungen ist in einer Social Community online zu sein. )
Über diese Tür hat man nun einen fast sicheren Weg geschaffen einfach an den Client ran zu kommen und Schadcode einzuschleusen und den Benutzer/Client zu überwachen.

Es schein im ersten Moment nicht sonderlich späktakulär zu sein, aber die Infos die man so gewinnen kann sind aufschlussreich und lassen sich leicht weiter verwenden.

Abusing HTTP Status Codes to Expose Private Information

Wie umgeht man das bzw. wie sichere ich mich ab ?
Ganz einfach. Nicht Alles auf einmal machen.
Will ich was auf Facebook machen, mache ich was auf Facebook und habe nur diesen Tab offen. Alles andere ist zu.
Somit ist man auf der sicheren Seite, dass keine andere Website mich ausspionieren will ( irgendwie komisch dies im Zusammenhang mit Faceboook zu sagen… )
Das Selbe gilt auch bei Online-Backing.


Weniger ist mehr