Home » Security News & Infos » Sicherheitsloch bei der Browser-Authentifizierung » Themenansicht

Sicherheitsloch bei der Browser-Authentifizierung
#0
03.04.2004, 10:48
Dafra
Member
Avatar Dafra

Beiträge: 1122
#1

Zitat

Der israelische Hacker Ncevy hat eine Schwachstelle im Hypertext Transfer Protocol (HTTP, RFC 1945) aufgedeckt, die Browser und Server aller Hersteller betrifft. Die Browser-Authentifizierung ist unzureichend gesichert und lässt sich beliebig manipulieren. Über gefälschte User-Agent-Header können Angreifer so genannte Browser-Spoofing-Angriffe durchführen. heise Security sind mehrere Fälle bekannt, in denen Hacker durch Browser-Spoofing bereits die Schutzmechanismen von Web-Servern ausgehebelt haben.


Da die Schwachstelle in der Protokollspezifikation liegt, betrifft sie plattformübergreifend alle Browser und Server. Ncevy hat als Proof-of-Concept-Exploit ein Browser-in-the-Middle-Programm (BMP) entwickelt, mit dem sich solche Browser-Spoofing-Attacken sogar für ganze Netzwerke automatisieren lassen.

Besonders kritisch ist dieses Sicherheitsproblem, weil nicht nur der ungesicherte HTTP-Verkehr, sondern auch der verschlüsselte HTTPS-Verkehr betroffen ist. Selbst SSL-Client-Authentifizierung kann Browser-Spoofing nicht verhindern. Da HTTPS auch für Online-Banking eingesetzt wird, lassen sich selbst Server bekannter Banken durch Browser-Spoofing-Angriffe täuschen und geben unbeabsichtigt Web-Seiten preis, auf die der Benutzer eigentlich keinen Zugriff erhalten sollte.

Microsoft hat das Problem bereits bestätigt und erklärt, dass man an einer Lösung arbeite. Die Open-Source-Gemeinde will in den nächsten Tage ein Apache-Modul bereitstellen, das eine kryptografisch gesicherte Browser-Authentifizierung ermöglicht. Dabei bildet der Server einen MD5-Hash über alle vom Browser gesendeten Informationen und entscheidet dann, ob die übertragenen Daten stimmen.

Bis alle Server- und Browser-Hersteller Patches und Erweiterungen bereitstellen, empfiehlt Ncevy als Schutzmaßnahme, auf Servern kein HTTP mehr einzusetzen. Auch Anwender sollten beim Surfen auf das schon vom Design her unsichere HTTP verzichten.
Quelle
MFG
DAFRA
Dieser Beitrag wurde am 03.04.2004 um 10:48 Uhr von Dafra editiert.
Seitenanfang Seitenende
03.04.2004, 11:20
forge77
Member

Beiträge: 813
#2

Zitat

Bis alle Server- und Browser-Hersteller Patches und Erweiterungen bereitstellen, empfiehlt Ncevy als Schutzmaßnahme, auf Servern kein HTTP mehr einzusetzen. Auch Anwender sollten beim Surfen auf das schon vom Design her unsichere HTTP verzichten.
lol ;)

Man beachte bitte das Datum der Meldung... ;)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
03.04.2004, 11:35
MacDefender
Member

Beiträge: 201
#3 Jau, das ist echt lustig. Allerdings muß man dazusagen das auch hier etwas Wahrheit mit drinsteckt. Aber das brauch man ja schlißlich auch um es glaubwürdiger zu machen ;)

Aber ich habe bei meinem selbstgeschriebenen FilterProxy nicht umsonst Funktionen eingebaut um HTTP Header beliebig zu filtern und "on the fly" zu ersetzen, erweitern oder zu löschen. Auch damit kann man manchmal schon viel erreichen. Es gibt z.B. immernoch einige Leute die den Referer abfragen und darüber Authentifizierungen mit realisieren nach dem Motto wenn er von einer intenen Seite kommt ist das erlaubt ;) Auch das modifizieren von Cookies kann manchmal Wunder wirken. Also ganz so abwegig ist diese meldung nicht allerdings wird man das auch nie wirklich ändern können. Und ein echtes Sicherheitsproblem ist das keinesfalls. Man darf sich wenn man selber Webseiten erstellt nur NIEMALS auf die Angaben verlassen die ein Browser rüberschickt da man die ALLE manipulieren kann. Incl der PHP Sessions-ID's, Cookies oder gar Variablen die man nichtmal auf der Webseite stehen hat aber denoch intern irgendwo verwendet. Teilweise kann mit eim path=xy in der URL Wunder bewirken da die Ersteller von Scripten nicht daran denken das man alles rüberschicken kann. Wer da einfach alle Argumente vom User übernimmt ohne Prüfung hat schon ein dickes Loch.

Aber der Vorschlag einfach kein HTTP mehr zu werden ist lustig ;) Ich finde wir fangen mal gleich damit an und nutzen wieder alle das gute GOPHER. Ist ja immernoch ziemlich aktiv und für einige Sachen sogar besser geeignet da einfach kleiner und schneller. Ausserdem kennt das kaum noch jemand ;)
Seitenanfang Seitenende
03.04.2004, 11:50
Dafra
Member
Themenstarter
Avatar Dafra

Beiträge: 1122
#4 Jaja Bugs in Protokollen sind immer ärgerlich, da die dann meistens alle damit arbeitende Programme tangieren. ;)
MFG
DAFRA
Dieser Beitrag wurde am 04.04.2004 um 10:33 Uhr von Dafra editiert.
Seitenanfang Seitenende
03.04.2004, 16:03
forge77
Member

Beiträge: 813
#5 Die hier sind auch darauf reingefallen... ;) :
http://security.sunrise.ch/Main/index.asp?FallNr=2482

Und hier wurde das Thema ebenfalls "aufgegriffen":
http://www.symlink.ch/articles/04/04/01/1313213.shtml
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
03.04.2004, 18:31
Dafra
Member
Themenstarter
Avatar Dafra

Beiträge: 1122
#6 Also das ist doch April April oder ??
So hab ichs jedefalls gesehen.
Oder lieg ich da falsch ?????????
MFG
DAFRA
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1