.titleBar { margin-bottom: 5px!important; }

OT: XP-SP 2 Browserproblem

Dieses Thema im Forum "Sonstiges" wurde erstellt von spongebob, 5 Nov. 2004.

  1. spongebob

    spongebob Aktives Mitglied

    Registriert seit:
    22 Sep. 2004
    Beiträge:
    1,287
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo Admins,

    obwohl dieses Thema nicht zur Gruppe passt, bitte Topic nicht wieder verschieben. Brauche das Fachwissen der Experten. Oder - wenn Ihr verschiebt, bitte Phantomthread stehen lassen! Die Experten sind hier und nicht bei Freenet :)

    Danke.

    Zum Thema:

    Ich bin heute zufällig in eine fast unglaubliche Backdoor im IE 6 unter MS XP SP 2 gestolpert. Ich konnte mich leider nicht gegen SP 2 wehren; war schon vorinstalliert auf meiner neuen Kiste. Mittlerweile finde ich das OS komplett paranoid, doch das ist meine persönliche Meinung.

    Ich konnte das Problem auf Folgendes herunterbrechen:

    Eine HTML Datei, die JavaScript-Code enthält, wird bei lokaler Ausführung grundsätzlich angemeckert ("Die Anzeige aktiver Inhalte, die auf den Computer zugreifen können, wurde für diese Datei aus Sicherheitsgründen eingeschränkt"). Man kann die Mecker umgehen, indem man temporär die geblockten Inhalte zulässt bzw. in den globalen Sicherheitseinstellungen rumpfuscht.

    Zum "Empfang" o.g. Fehlermeldung reicht es, folgende kleine HTML Datei per Doppelklick zu starten:

    <html>
    <body onload=hallo();></body>
    </html>

    Wie man sieht, ist der body leer (darauf kommts nicht an) und die Script funktion existiert auch nicht (darauf kommts auch nicht an, Hauptsache Scriptcode ist vorhanden). Beim Ausführen dieser HARMLOSESTEN DATEI DER WELT kommt es zu der o.a. Warnung.

    Zufälligerweise habe ich noch eine andere Version dieser Datei gehabt. Ursprünglich wurde die mit Frontpage 2003 erzeugt und dann als Anlage vermailt. Diese ältere Version tat es ohne Klagen.

    Der einzige Unterschied zwischen ersterer und letzterer Datei besteht nun in einer (an irgendeiner Stelle der Datei) eingefügten KOMMENTARZEILE folgenden Inhalts:



    Wenn der Browser diese findet, meckert er nicht --- respektive führt den Code aus (!!??). Der String muss auf einer Zeile stehen und darf - zumindest bis "e-mail" - nicht verändert werden. Zweite Bedingung für das Nichtauftreten der Script-Fehlermeldung ist, dass bei Aufruf alle anderen Browserfenster geschlossen sind.

    Ich bitte Besitzer von XP SP 2 um Verifikation. Hier konnte ich es auf verschiedenen Systemen nachstellen.

    EDIT: Der Code _wird_ ausgeführt:


    <html>
    <body onload=alert("Hallo");></body>
    </html>

    Damit ist das für mich ein Sicherheitsloch.

    Grüsse
     
  2. capq

    capq Neuer User

    Registriert seit:
    15 Okt. 2004
    Beiträge:
    10
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi spongebob,

    ich habe es gerade ausprobiert. Bei mir ist es ganz genau so wie bei Dir. Hier läuft XP Pro Version 2002 SP2 (nachinstalliert, das XP-Grundsystem war nur SP1).

    Mit dem Kommentar in der HTML-Datei gibts bei lokaler Ausführung keine Warnung, ohne schon. Bei Ausführung vom WWW-Server gibts in beiden Fällen keine Warnung.
     
  3. spongebob

    spongebob Aktives Mitglied

    Registriert seit:
    22 Sep. 2004
    Beiträge:
    1,287
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Das ist wohl gewollt, da sonst ja kaum noch eine Website ohne Warnung sichtbar werden würde. Generell kann man sich aber wohl auch vor externem Javascritp schützen.

    Danke für die Nachtests.

    Ich bin mir noch nicht über die Relevanz des Ganzen im Klaren. Mit Sicherheiit dürfte diese Info für Leute interessant sein, die viel mit HTA, JS, VBS und Windows Scripting machen.

    Grüsse

    Edit: 20:09 Uhr:

    Oh je... Beim Googeln nach "saved from url" kommt ja so Einiges an Merkwürdigem zu Tage...

    Grüsse

    Bitte von Christoph: Und noch mal die Bitte, die "Edit"-Funktion zu nutzen...
     
  4. Christoph

    Christoph IPPF-Promi

    Registriert seit:
    20 Feb. 2004
    Beiträge:
    6,229
    Zustimmungen:
    5
    Punkte für Erfolge:
    38
    Ort:
    Düsseldorf
    @ spongebob:

    Habe den Thread nun verschoben und es blieb ein "Phantom" an alter Stelle. Das werde ich aber nicht noch mal machen.

    Bitte halte Dich an die vorgegebenen Rubriken. Wenn Du einen aussagekräftigen Titel wählst, wird man Dir auch bzw. erst recht in der richtigen Rubrik helfen.

    Und bei der Gelegenheit auch noch mal die dringende Bitte, Gebrauch von der "Edit"-Funktion zu machen - Du bist doch nicht seit gestern hier...