CERT warnt vor böser HTML
Das CERT, ehemals "Computer Emergency Response Team", hat eine Warnung vor bösartigen Scripts ausgegeben. Diese können in herkömmliche Websites eingebettet werden und, ohne dass der User es bemerkt, ein Sicherheitsrisiko darstellen.
Das CERT appelliert vor allem an Betreiber von Webservern, dynamisch generierte Webseiten [z.B. via CGI] zu überprüfen, ob sie nicht die unbeabsichtigte Ausführung von bösartigen Scripts erlauben. Auch userseitige Eingabemöglichkeiten sollten so abgesichert werden, dass keine HTML-Tags eingebaut werden können, die ihrerseits die Ausführung bösartiger Scripts veranlassen.
Das Security Advisory wurde "ohne konkreten Anlassfall" ausgegeben, der Ernst der möglichen Bedrohung hat das CERT aber zu diesem Schritt veranlasst. Das CERT ist Teil des "Networked System Survivability Program" am "Software Engineering Institute", das von der US-Regierung und der Carnegie-Mellon-Universität finanziert wird.
Das CERTCERT scheint auch die Diskussionsforen anzusprechen, die im Rahmen einer Communitybildung wie Pilze aus Portalen, Newssites und Homepages schießen. Oft schlecht programmiert oder ohne Sicherheitseinschränkungen verwendet, erlauben manche die Einbettung bösartiger Scripts. Diese müssen auch nicht auf der entsprechenden Site gelagert werden, sondern können ihren Code auch von fremden Sites beziehen.
Das CERT führt mehrere Beispiele an, wie via HTML-Tags eingebettete Scripts Sicherheitsrisken darstellen können.
~ Link: http://www.cert.org/advisories/CA-2000-02.html ~