Du bist nicht angemeldet.

Designfehler im IE: Nicht stoppbare Notepad-Popups

Nash.Bridges

Profi

  • »Nash.Bridges« ist der Autor dieses Themas

Beiträge: 1 426

  • Private Nachricht senden

1

Freitag, 12. September 2003, 15:20

Designfehler im IE: Nicht stoppbare Notepad-Popups

[q=PC Welt]Designfehler im IE: Nicht stoppbare Notepad-Popups

Ein Designfehler im Internet Explorer führt dazu, dass beim Besuch einer entsprechend präparierten Website oder beim Lesen einer Mail jegliche Sicherheitseinstellungen ignoriert werden und sich ein Notepad-Popup-Fenster öffnet. Laut Richard M. Smith von der Website ComputerBytesMan.com versagen bei solchen Notepad-Popups auch die meisten Popup-Blocker. Spammer hätten damit die Möglichkeit, ihre Werbebotschaften ungehindert zu verbreiten.

Der Designfehler steckt im "view-source"-Protokoll, den der Internet Explorer verwendet, um den Quellcode einer HTML-Seite anzuzeigen. So kann beispielsweise über den Befehl "view-source:http://www.google.com" (Sie können Ihn auch als URL im Internet Explorer angeben) der Quellcodes der Google-Website angezeigt werden. Der "view-source"-Befehl kann aber auch dafür genutzt werden, um den Inhalt einer Datei auf der lokalen Festplatte über ein Notepad-Popup anzuzeigen (view-source:file:///c:\windows\win.ini).

Das ist allerdings noch nicht alles, denn der "view-source" kann auch innerhalb von beliebigen HTML-Tags eingesetzt werden. Wird er dabei in einem "Img"-Tag, der zur Anzeige von Bildern verwendet wird, eingesetzt (<img src=view-source:www.pcwelt.de/test.txt>), öffnet sich das Notepad-Popup automatisch, sobald der Anwender eine Website oder eine HTML-Mail öffnet.

Laut Smith kann dieser Designfehler nicht nur dazu genutzt werden, um die Anwender mit Werbebotschaften zu nerven, sondern auch, um einen Rechner zum Absturz zu bringen, indem massenweise "view-source"-Anweisungen gegeben werden. So könnte beispielsweise der mehrfache Aufruf einer großen Systemdatei den Rechner so sehr beanspruchen, dass er abstürzt.

Eine weitere Gefahr könnte bestehen, wenn über "view-source" eine lokale Systemdatei im Notepad geöffnet wird, der Anwender das nicht gleich merkt und sie in einer veränderten Form wieder abspeichert.

Smith empfiehlt Microsoft, dieses Problem zu lösen, indem festgelegt wird, dass der "view-source" nur noch in bestimmten HTML-Tags verwendet werden kann. Zusätzlich sollte dafür gesorgt werden, dass der Befehl nicht in der Lage ist, die lokalen Dateien auf der Festplatte zu öffnen.

Weitere Infos zum Designfehler finden Sie auf dieser Website von Computerbytesman.com . Wenn Sie den Internet Explorer verwenden, dann werden Sie beim Aufruf der Seite gleich mit einer Demonstration des Notepad-Popups begrüßt.[/q]
Quelle: PC Welt

MfG Nash

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Nash.Bridges« (12. September 2003, 15:21)

TheNobody Style

alter Sack, aber Chef :D

Beiträge: 4 678

Vorname: Andreas

  • Private Nachricht senden

2

Freitag, 12. September 2003, 15:47

RE: Designfehler im IE: Nicht stoppbare Notepad-Popups

bei mir funzt das nicht mehr ... obwohl ich den IE habe. Bei mir wird "view-source" durch die Firewall rausgefiltert. :D
Signatur von »TheNobody Style«

Lesezeichen: