Windows 7

Blog von Microsoft Deutschland

Facebook: IE9 als einziger gegen XSS Angriffe gerüstet

Facebook: IE9 als einziger gegen XSS Angriffe gerüstet

  • Comments 6
  • Likes

Nachdem die Cross-Site Scripting (XSS) Angriffe auf Facebook zunehmen, hat Facebook letzten Donnerstag die Zusammenarbeit mit Web of Trust bekannt gegeben:

https://www.facebook.com/notes/facebook-security/keeping-you-safe-from-scams-and-spam/10150174826745766

Wichtig für jeden “Surfer” ist dabei folgender Hinweis:

“We are also working with the major browser companies to fix the underlying issue that allows spammers to do this. Internet Explorer 9 has already put some protections in place, and we are talking with others about providing similar protections.”

Unter diesem Aspekt sieht Facebook den Internet Explorer 9 derzeit unangefochten an der Spitze der sicheren Browser, da in anderen Browsern (mit Ausnahme von Safari 5.0, der aber nur JavaScript filtern kann) derzeit keine Mechanismen gegen diese Form der Bedrohung implementiert worden sind.
Wenn man nun noch zusätzlich sinnvolle Einstellungen bei der Tracking Protection vorgenommen hat, so reduziert sich das Angriffspotential noch mal zusätzlich!

Technische Anmerkung dazu noch von meiner Seite: die XSS Mechanismen sind auch in Internet Explorer 8 schon enthalten und in IE9 noch weiter verbessert worden:

http://blogs.msdn.com/b/ie/archive/2008/07/02/ie8-security-part-iv-the-xss-filter.aspx
http://blogs.msdn.com/b/ieinternals/archive/2011/01/31/controlling-the-internet-explorer-xss-filter-with-the-x-xss-protection-http-header.aspx
http://windows.microsoft.com/en-US/internet-explorer/products/ie-9/features/cross-site-scripting-filter

 

Für die Tracking Protection auch mal einen Blick in die IE Gallery werfen: http://iegallery.com/de/trackingprotectionlists/default.aspx und eine der Tracking Protection Lists integrieren.

Übrigens: neben Facebook sieht auch der TÜV Trust IT den IE als sehr sicheren Browser: http://www.it-tuv.com/internet-explorer/

 

Cheers

Stephanus

Comments
  • "...da in anderen Browsern derzeit keine Mechanismen gegen diese Form der Bedrohung implementiert worden sind."

    Dies stimmt so nicht. Im Internet Explorer ist zwar der meiner Meinung nach beste Schutz gegen XSS bereits von Haus aus implementiert, aber auch Apples Safari schützt seine Benutzer gegen Cross-Site Scripting. Im Safari wird aber leider nur JavaScript gefiltert. Injektionen von HTML oder CSS werden meist unangetastet im Browser gerendert.

  • Hallo Michael,

    wo Du recht hast, hast Du recht. Ich ändere den Artikel und gebe Safari 5 die Credits.

    VG, Daniel

  • Etwas off topic, aber eine Nerv-Sache beim IE9, für die es m.W: noch keine Lösung gibt: man kann Downloads nicht auf Netzlaufwerke speichern, außer bei den Shares hat everyone full access. Könnte hierzu mal bitte jmand was sagen, denn für Firmennetzwerke ist das nicht machbar. Seehe auch social.technet.microsoft.com/.../753b9c29-6312-4828-9d93-21217866a8c9

    Danke und Gruß,

    Hans

  • @Hans: das Problem wurde uns bereits berichtet und die Produkt Gruppe analysiert und bewertet derzeit die Zusammenhänge.

    Ob, bzw. wann das Verhalten verändert wird können wir daher im Moment leider nicht abschätzen.

    Trotzdem: danke für den Hinweis!

    Schönes Wochenende!

    Stephanus

  • und in Google Chrome funktionieren auch keine XSS über die Adresse. Allerdings würde Facebook nie Google loben, deshalb haben Sie das schön ignoriert.

  • Hallo Daniel,

    letzte Woche dachte ich noch dass der Safari einen funktionierenden XSS-Schutz, zumindest gegen JavaScript, anbietet – dem ist leider nicht so. Der Filter im Safari und im Chrome kann umgangen werden, womit der Internet Explorer doch der einzige Browser mit funktionierendem Schutz gegen Cross-Site Scripting ist.

    Eine kurze Erklärung dazu habe ich hier verblogt:

    meingottundmeinewelt.de/.../xss-schutz-von-chrome-und-safari-umgehen

    CU

    Michael

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment