Peinliche Sicherheitslücke bei PayPal


“Sicherererer” ist was anderes. Wie Heise Security heute berichtete, hat ein Leser desselbigen Dienstes eine Lücke auf der Website des Bezahldienstes PayPal entdeckt, durch die Code eingeschleust werden konnte. So hätte beispielsweise durch ein abgebrochenes JavaScript als Sucheingabe einen Dialog auslösen – oder schlimmer: Zugangsdaten abfangen können.

Nach bisherigen Erkenntnissen war nur das Suchformular betroffen.

Sogenannte Cross-Site-Scripting-Lücken entstehen, wenn Benutzereingaben auf einer Website nicht gefiltert werden. Handelt es sich bei solchen Eingaben um Code, beispielsweise um JavaScript-Code:

" alert("Hallo Welt!")

Bei einfach geskripteten PHP-basierten Sites funktionieren auch Eingaben wie:

?><?php echo "Hallo Welt"; ?>

In der Vergangenheit ließen sich auch oft Websites durch Manipulation der URLs modifizieren, weil beispielsweise Pfade zu einzubindenden Dateien geändert werden konnten:


http://www.example.org/?site=impressum.php

Weiterlesen


“Bikeshed” konvertiert Flash in HTML5

Spätestens seit dem vergangenen Jahr ist es sicher: Adobes Flash-Technik wird sterben. Nur wann, da will sich noch keiner festlegen. Adobe hat jedenfalls angekündigt, Flash in den nächsten “fünf bis zehn Jahren” aufzugeben.


Für das sterbende Flash gibt es mehrere Gründe:

  • Das aufkommende HTML5 kann Flash längst das Wasser reichen, Browserhersteller implementieren die neue Technik; es ist ein vollwertiger und zeitgemäßer Nachfolger.
  • Flash wird vor allem auf den zunehmend wichtigen Mobilgeräten nicht flächendeckend unterstützt. Vorreiter bei der Nicht-Unterstützung ist ganz klar Flash-Verweigerer Apple.
  • Flash diente als Alternative zu Java-Anwendungen im Browser: es war schneller und die Flash-Anwendungen leichter zu erstellen – aber es spielte, genau wie Java-Applets, mittels Plug-In immer nur ein Objekt im Browser ab.
  • Flash ist eine proprietäre Technik, HTML5 hingegen ist eine durch das W3C standardisierte Auszeichnungssprache. Weiterlesen