Thema: HTML5 diverses ...

[SiLæncer]

Webentwickler setzen große Hoffnungen in den kommenden HTML5-Standard. Die neue HTML-Version könnte jedoch auch Gefahren mit sich bringen, warnt das IT-Sicherheitsunternehmen Trend Micro. Den Experten der Firma zufolge bietet HTML5 auch Cyberkriminellen völlig neue Möglichkeiten. Trend Micro stellt einige mögliche Angriffszenarien auf HTML5 vor.

Nicht ohne Grund wird HTML5 von vielen sehnsüchtig erwartet und von einigen namhaften Websites - trotz des unfertigen Zustands - bereits jetzt genutzt. Die neue Version der Website-Beschreibungssprache weist zahlreiche Neuerungen auf, auf Entwickler und Administratoren schon lange gewartet haben, wie beispielsweise Multimedia-Inhalte.

Trend Micro warnt jedoch vor Sicherheitsrisiken, die der Umstieg auf HTML5 mit sich bringen könnte. "HTML5 bietet auch den Cyberkriminellen völlig neue Möglichkeiten," sind die Experten überzeugt. Sie warnen unter anderem vor "Botnetzen im Browser". Angreifer, so Trend Micro, sind mit HTML5 in der Lage, ein Botnetz zu erzeugen, das auf jedem Betriebssystem und auf jedem Gerät funktioniert. Es läuft vorwiegend im Hauptspeicher und berührt daher die Festplatte kaum. Das macht es für Antivirenprogramme, die mit Signaturdateien arbeiten, schwierig, das Botnetz zu erkennen. Die Implementierung des Schadcodes per JavaScript - das sich, so erklärt Trend Micro "technisch gesehen mit wenig Mühe verschleiern lässt", erschwert eine Erkennung durch gängige Sicherheitslösungen zusätzlich. Da der Schadcode im Browser ausgeführt sind, bieten auch gängige Firewalls kaum Schutz.

Die so gebildeten Botnets, so befürchtet Trend Micro, könnten für verschiedene Angriffsszenarien benutzt werden, wie man sie bereits heute von Botnets kennt. Das Unternehmen nennt DDoS-Angriffe, Spam-Versand, Bitcoin-Mining, Phishing, die Suche nach Sicherheitslücken sowie die Nutzung zur Verschleierung von IT-Verbrechen durch Verwendung als Proxy als mögliche Einsatzgebiete des Botnets. Zudem, so die Befürchtung, könnte der Schadcode auch so programmiert werden, dass er sich von per HTML5 infizierten Rechnern selbständig weiterverbreitet.

Herkömmliche Sicherheitssoftware, so Trend Micro, bietet aus den genannten Gründen kaum Schutz gegen über HTML5 durchgeführte Angriffe. Die Experten empfehlen daher die Nutzung des kostenlosen Browser-PlugIns "NoScript" , das die Funktionsweise von JavaScript und anderen Plug-Ins auf nicht vertrauenswürdigen Seiten ein schränkt, sowie des eigenen Schutz-Tools "BrowserGuard".

Quelle : www.gulli.com

[SiLæncer]

Die neue Website Filldisk.com nutzt eine prekäre HTML5-Sicherheitslücke aus, von der die Browser Chrome, Safari, Opera und Internet Explorer betroffen sind. Allein der Aufruf der Homepage genügt dazu, dass sich innerhalb weniger Sekunden mehrere Gigabyte an Katzenbildern auf dem Computer anstauen. Lediglich Firefox-Nutzer sind zum aktuellen Zeitpunkt nicht angreifbar.

Verantwortlicher Entwickler der Webseite ist der Programmierer Feross Aboukhadijeh. Bereits am Mittwoch stellte der IT-Experte auf seinem Blog die „HTML 5 Hard Disk Filler API“ vor. Mittels des Scripts kann eine Webseite so präpariert werden, dass sie die Festplatte jedes Besuchern mit Unmengen an Daten füllt. Im Falle von Aboukhadijehs Demonstration auf Filldisk.com (Achtung: Sofort nach dem Öffnen der Webseite beginnt sich die Festplatte zu füllen) werden sekündlich unzählige Katzenbilder übertragen. Zwar ist es über einen einfachen Klick möglich, den gesamten Datenschrott wieder zu löschen. Allerdings würde ein böswilliger Angreifer seinen Opfern diese Möglichkeit sicherlich nicht bieten.

Dass ein derartiger Angriff überhaupt möglich ist, liegt an der neuen localStorage-Funktion von HTML5. Diese erlaubt es Webseiten, statt winziger Cookies auch größere Daten auf dem Computer des Nutzers abzulegen zu können. Allerdings ist es Aufgabe des Browsers, den möglichen Speicherumfang einer jeden Webseite zu begrenzen. Je nach Software werden jeder Domain nur rund 5 Megabyte gestattet. Allerdings haben die Entwickler von Google Chrome, Firefox, Opera und Internet Explorer nicht daran gedacht, den Missbrauch über mehrere Subdomains auszuschließen. Denn Aboukhadijehs Exploit verschafft sich über 1.filldisk.com, 2.filldisk.com, … so viel Festplattenkontingent, wie es möchte. In der offiziellen HTML5-Dokumentation machen die Verantwortlichen sogar explizit darauf aufmerksam, diese Angriffsmethode zu verhindern. Allerdings erhalten nur Firefox-Nutzer auf der Demonstrations-Webseite die Meldung, dass der Bug bei ihnen nicht existiert.

Aboukhadijeh hat in den Bugreport-Systemen aller betroffenen Browser einen Antrag gestellt, die Lücke schnellstmöglich zu schließen. Bisher funktioniert der Trick allerdings noch in allen betroffenen Browsern.

Quelle : www.gulli.com

[Jürgen]

Die Zeit, sämtliche HTML5-Specs durchzulesen, habe ich nicht.

So frage ich mich nun, wer eigentlich ungebeten diese Dateien auf unsere Rechner packen darf, nur die direkt angesteuerte Seite oder auch Frames, Scripte & Co., und wer genau die dann wieder lesen darf, dito...
 
Wenn sogar domainübergreifend zugegriffen werden könnte, wäre diese localStorage-Funktion eventuell auch als eine Art Cloud für Kriminelle nutzbar, z.B. um Kinderpornographie, Botnetz-Steuerdaten u.ä. zwischenzuparken, beispielswesie über verbreitete Werbeeinblendungen.

Jedenfalls meine ich, dass Browserhersteller unbedingt verantwortlich zu machen wären, würde sich ihre Art der Implementierung quasi als Beihilfe erweisen.
Diese Funktion muss standardmäßig mindestens genau so restriktiv gehandhabt werden (können), wie schon seit langer Zeit bei Cookies üblich.

Auf meinem Rechner hat NIEMAND irgendein Recht, ohne meine aktive Zustimmung Dateien nachhaltig zu speichern.
Lokales Speichern ist einzig MEIN Recht.

Was haben sich eigentlich die die HTML5-Entwickler dabei gedacht?
Garantierter Platten-Platz für Bundestrojaner 

Jürgen