Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.
Seiten: 1
#1 02. September 2016 09:49
- nockenfell
- Moderator
- Ort: Lenzburg, Schweiz
- Registriert: 09. November 2010
- Beiträge: 2.930
- Webseite
target=_blank - eine Sicherheitslücke in Sozialen Medien
T3N hat einen interessanten Artikel zu target=_blank veröffentlicht
http://t3n.de/news/facebook-sicherheits … nk-742146/
Wird ein Link mit target=_blank geöffnet, öffnet sich ein neues Browserfenster. Durch den dabei ausgeführten Befehl window.opener erhält die neue Seite Zugriff auf das bisherige Browserfenster. So ist es möglich, via Javascript möglich den Inhalt der Ursprungsseite zu verändern. Gefährdet sind hier vor allem soziale Medien wie Facebook.
Als Webseitenbetreiber, welcher target=_blank verwendet, kann man seine Benutzer wie folgt schützen:
<a href="http://www.seite.com" target="_blank" rel="noopener noreferrer">Neue Seite</a>mit dem rel="noopener noreferrer" setzt man den window.opener auf Null.
[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog / Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox
Offline
#2 02. September 2016 11:28
- NaN
- Moderator
- Ort: Halle (Saale)
- Registriert: 09. November 2010
- Beiträge: 4.436
Re: target=_blank - eine Sicherheitslücke in Sozialen Medien
Wer ausprobieren will, ob sein Browser betroffen ist, kann das hier testen:
https://mathiasbynens.github.io/rel-noopener/
Beim Cross-Origin Beispiel warnt mich Firefox, dass die Ursprungsseite Seite plötzlich umleiten will.
Dazu gibt es einerseits eine Einstellung: "Erweitert" › "Allgemein" die Option "Warnen, wenn Webseiten versuchen umzuleiten oder neuzuladen"
Außerdem gibt es noch das AddOn RequestPolicy. RequestPolicy warnt unabhängig von dieser Einstellung.
Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)
Offline
#3 02. September 2016 14:00
- nockenfell
- Moderator
- Ort: Lenzburg, Schweiz
- Registriert: 09. November 2010
- Beiträge: 2.930
- Webseite
Re: target=_blank - eine Sicherheitslücke in Sozialen Medien
Danke für die Ergänzung.
[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog / Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox
Offline
#4 04. September 2016 07:49
- Andynium
- Moderator
- Ort: Dohna / SN / Deutschland
- Registriert: 13. September 2010
- Beiträge: 7.018
- Webseite
Re: target=_blank - eine Sicherheitslücke in Sozialen Medien
Für's Protokoll 
:
Gefährdet sind hier vor allem soziale Medien wie Facebook.
Könnte aber auch für CMSMS-Anwender relevant werden, sobald auf der Webseite Besuchereingaben möglich sind, wie zum Beispiel die FE-Aktion beim News-Modul, beim CGFeedback-Modul und beim GBook-Modul (Gästebuch)
Als Webseitenbetreiber, welcher target=_blank verwendet, kann man seine Benutzer wie folgt schützen:
<a href="http://www.seite.com" target="_blank" rel="noopener noreferrer">Neue Seite</a>
Falls gewünscht und erforderlich, kann dies automatisiert über den Smarty-Tag replace ersetzt werden
{$entry->userinput|replace:'target="_blank"':'target="_blank" rel="noopener noreferrer"'}wobei $entry->userinput die jeweilige Variable ist, die die Eingaben des Benutzers enthält.
Offline
Seiten: 1