Cross-Site Authentication
aus Wikipedia, der freien Enzyklopädie
Als Cross-Site Authentication (kurz: XSA) bezeichnet man eine Computersicherheitslücke mit der ein Angreifer fremde Passwörter ausspionieren kann.
Diese Lücke kann ausgenutzt werden, wenn ein Webforum, ein Weblog oder ähnliche Systeme das Einbinden von Bildern durch nicht vertrauenswürdige Benutzer zulässt. Ein Angreifer bindet dazu ein beliebiges Bild in einen Beitrag ein, welches durch den Webserver durch HTTP Auth geschützt ist. Ruft ein Benutzer den Beitrag auf, fordert ihn sein Webbrowser auf, eine Benutzer/Passwort-Kombination einzugeben, welche dann vom Webserver des Angreifers gespeichert werden kann.
Cross-Site Authentication kann durch den Browser begünstigt werden, indem dieser im Passwort-Dialog den Namen des zur Passwort-Eingabe auffordernden Webservers nicht deutlich genug anzeigt.
[Bearbeiten] Schutz
Einen sicheren Schutz auf der Seite des Anbieters bietet das komplette Deaktivieren von Bildern aus externer Quelle. Durch deutlichere Dialoge oder Warnhinweise könnten die Browser das Problem ebenfalls eindämmen.
Der sicherste Schutz ist allerdings grundsätzlich Aufmerksamkeit und Misstrauen gegenüber unerwarteten Passwort-Dialogen.
Ebenfalls sicheren Schutz bieten Browser, die für in eine Webseite eingebettete Elemente von fremden Webservern grundsätzlich die Authentikations-Mechanismen unterbinden.
[Bearbeiten] Weblinks
- Beispielseite (Achtung: keine echten Passwörter eingeben!)
- The Cross Site Auth (XSA) Attack (Initialer Blog-Eintrag)
- Linux-Magazine-Artikel (Englisch)
