Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

#1 02. September 2016 09:49

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.927
Webseite

target=_blank - eine Sicherheitslücke in Sozialen Medien

T3N hat einen interessanten Artikel zu target=_blank veröffentlicht
http://t3n.de/news/facebook-sicherheits … nk-742146/

Wird ein Link mit target=_blank geöffnet, öffnet sich ein neues Browserfenster. Durch den dabei ausgeführten Befehl  window.opener erhält die neue Seite Zugriff auf das bisherige Browserfenster. So ist es möglich, via Javascript möglich den Inhalt der Ursprungsseite zu verändern. Gefährdet sind hier vor allem soziale Medien wie Facebook.

Als Webseitenbetreiber, welcher target=_blank verwendet, kann man seine Benutzer wie folgt schützen:

<a href="http://www.seite.com" target="_blank" rel="noopener noreferrer">Neue Seite</a>

mit dem rel="noopener noreferrer" setzt man den window.opener auf Null.


[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

Offline

#2 02. September 2016 11:28

NaN
Moderator
Ort: Halle (Saale)
Registriert: 09. November 2010
Beiträge: 4.435

Re: target=_blank - eine Sicherheitslücke in Sozialen Medien

Wer ausprobieren will, ob sein Browser betroffen ist, kann das hier testen:
https://mathiasbynens.github.io/rel-noopener/
Beim Cross-Origin Beispiel warnt mich Firefox, dass die Ursprungsseite Seite plötzlich umleiten will.
Dazu gibt es einerseits eine Einstellung: "Erweitert" › "Allgemein" die Option "Warnen, wenn Webseiten versuchen umzuleiten oder neuzuladen"
Außerdem gibt es noch das AddOn RequestPolicy. RequestPolicy warnt unabhängig von dieser Einstellung.


Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)

Offline

#3 02. September 2016 14:00

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.927
Webseite

Re: target=_blank - eine Sicherheitslücke in Sozialen Medien

Danke für die Ergänzung.


[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

Offline

#4 04. September 2016 07:49

Andynium
Moderator
Ort: Dohna / SN / Deutschland
Registriert: 13. September 2010
Beiträge: 7.017
Webseite

Re: target=_blank - eine Sicherheitslücke in Sozialen Medien

Für's Protokoll wink:

nockenfell schrieb:

Gefährdet sind hier vor allem soziale Medien wie Facebook.

Könnte aber auch für CMSMS-Anwender relevant werden, sobald auf der Webseite Besuchereingaben möglich sind, wie zum Beispiel die FE-Aktion beim News-Modul, beim CGFeedback-Modul und beim GBook-Modul (Gästebuch)

nockenfell schrieb:

Als Webseitenbetreiber, welcher target=_blank verwendet, kann man seine Benutzer wie folgt schützen:

<a href="http://www.seite.com" target="_blank" rel="noopener noreferrer">Neue Seite</a>

Falls gewünscht und erforderlich, kann dies automatisiert über den Smarty-Tag replace ersetzt werden

{$entry->userinput|replace:'target="_blank"':'target="_blank" rel="noopener noreferrer"'}

wobei $entry->userinput die jeweilige Variable ist, die die Eingaben des Benutzers enthält.

http://www.smarty.net/docs/en/language. … eplace.tpl

Offline