Verbesserungsvorschl�ge » Target-Sicherheitslücke schließen

19.08.2017 12:02 (zuletzt bearbeitet: 19.08.2017 12:11)

Wolfgang
#1 Target-Sicherheitslücke schließen

Habe da etwas gefunden!
Mit target=�_blank� werden Web-Links veranlasst im neuen Fenster, im neuen TAB zu öffnen! Sehr hilfreich und nützlich!

Aber!
Durch den dabei ausgeführten Befehl erhält die sich neu öffnende Seite Zugriff auf das bisherige Browserfenster. So ist es möglich per "Javascript" den Inhalt der Ursprungsseite zu verändern.
Nutzt man einen älteren Browser, kann diese Sicherheitslücke Schwierigkeiten machen!

Lösungen:
1. Mit einem zusätzlichen Linkeintrag, wird eine Umleitung verhindert!

<a href="https://www.server.de" target="_blank" rel="noopener noreferrer">Neuer TAB</a>

2. Habe im Web einige Lösungen mit JavaScript gefunden, kann sie aber nicht alle überprüfen:


1
2
3
4
5
 
<script>
if (args.FieldValue.Contains("_blank")) {
renderer.Parameters.Add("rel", "noopener noreferrer")
};
</script>
 
oder
1
2
3
4
5
6
7
8
9
 
<script>
$(document).on("click", '[target="_blank"]', function (e) {
    var newWin = window.open();
    e.stopPropagation;
    e.preventDefault();
    newWin.opener = null;
    newWin.location = this.href;
};
</script>
 
oder (funktioniert für Links mit <a>...</a>)
1
2
3
4
5
 
<script>
$(document).ready(function(){
 $('a').attr('rel','noopener noreferrer');
});
</script>

3. Oder funktioniert ein Meta-Tag Eintrag?


1
 
<meta name="referrer" content="no-referrer-when-downgrade">

***********************************************************************

Frage:
Habe für mein Online-Radio einen Linkaufruf mit "onclick" genutzt!
Welches Script funktioniert da????

1
 
<span class="webradio10" onclick="window.open(this.href='//webradio.ffh.de', '_blank', ''); return false;">FFH Hitradio</span>

************************************************************************

Mein Vorschlag:

Eine Link-Sicherung mit jedem Linkaufruf automatisch einfügen!

Gibt es hier eine Vorab-Lösung?
Wer weiß weiter?
Oder wird alles nicht so heiß gegessen, wie es gekocht wird?

Aus meinem Forum:
Sicherheitslücke "target� für ältere Browser schließen!

Gruß
Wolfgang

Forum für Hilfe, Tricks & Tipps / Foren-Nr.: 104774 / Template: Business (V4) / Browser: Edge

Antworten

Beitrag melden

#2

19.08.2017 15:49

( gel�scht )
#2 RE: Target-Sicherheitslücke schließen

Gast

( gel�scht )

Hallo @Wolfgang

...ich habe mal das letzte script ausprobiert, welches du auch auf deiner Seite gepostet hast.

Müsste dann nicht im Anschluss das zusätzliche Attribut im Quelltext bei target_blank links zu sehen sein ?

MfG

Antworten

Beitrag melden

#3

19.08.2017 16:10 (zuletzt bearbeitet: 19.08.2017 16:12)

Rabendolch
#3 RE: Target-Sicherheitslücke schließen

Rabendolch

Laienfrage: Wäre es nicht einfacher, die Leute halten ihren Browser aktuell?

Ich mein, DIESE Sicherheitslücke ist doch nur eine von vielen, die bei überalterten Browsern winken. Ich weiß ja, dass einige Leute entweder ihre Browser aus Prinzip nicht aktualisieren oder an teils ganz antiquarischen Teilen hängen, wo es teils nicht mal mehr die Herstellerfirmen gibt glaube. Aber, um mal ein Beispiel aus dem realen Leben zu bringen, der moderne Mensch baut doch in seine Wohnungstüren mittlerweile auch Sicherheitzylinder ein und nicht mehr Schlösser mit Bartschlüsseln.

Ich find es schade um die Zeit, die ein Admin mit viel eigenem Code oder ein Programmierer reinsetzen müsste, um jede Lücke in alter Usersoftware mit Tricks zu umgehen. Kostet ja auch Geld (große Firmen kümmern sich nicht ohne Grund NICHT um diese alten Browser).

www.rabendolch.com

...ich nutze den Chat hier nicht, bitte berücksichtigen...

Antworten

Beitrag melden

#4

19.08.2017 16:46

Mike48
#4 RE: Target-Sicherheitslücke schließen

Mike48

Wenn ich Artikel über diese Lücke lese, ist es ja nicht einfach damit getan, mit einem Script das rel="noopener" in alle Links mit target="_blank" einzubauen. Es gibt auch Anwendungen wo der Rückgriff auf die aufrufende Seite benötigt wird. Dieser Rückgriff ist ja kein Bug sondern ein Feature.

www.friends-of-xobor.de (621181 - V4 Template)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)

Antworten

Beitrag melden

#5

19.08.2017 17:04

River
#5 RE: Target-Sicherheitslücke schließen

River

Zitat von Rabendolch im Beitrag #3
Ich find es schade um die Zeit

Es gibt ja bekanntlich Vorsichtsmaßnahmen, wenn man sich im Internet bewegt oder E-Mails versendet. Man soll ja auch keine E-Mails von fremden Absendern öffnen - als Beispiel. Die Zeit kann also darauf verwendet werden sich zu informieren, wann man aufpassen muss und wie man sich dann verhalten soll.

Was ältere Software (Browser) angeht, so muss keiner solche Browser verwenden. Man muss nur updaten. Dasselbe gilt für alle andere Software, die man auf dem Rechner hat.

Was diverse Plattformen (FB & Co.) angeht - nun ja - muss jeder selber wissen, ob er nicht lieber drauf verzichtet, aber auch dort können sich die User über Nebenwirkungen informieren.

Also, ich denke, es wird alles nicht so heiß gegessen wie es gekocht wird. ;)

Liebe Grüße
River

-------------------------------------------------------------

+++Ich will Computercrack werden! XD+++

Business Template (v4)

Antworten

Beitrag melden

#6

19.08.2017 17:47

Rudi_
#6 RE: Target-Sicherheitslücke schließen

Rudi_

Zitat von Wolfgang im Beitrag #1
Durch den dabei ausgeführten Befehl erhält die sich neu öffnende Seite Zugriff auf das bisherige Browserfenster. So ist es möglich per "Javascript" den Inhalt der Ursprungsseite zu verändern. Nutzt man einen älteren Browser, kann diese Sicherheitslücke Schwierigkeiten machen!

Ohne Passwort und Zugriffsdaten lässt sich gar nichts ändern. Probiere mal, dich in einem neu geöffneten Tab in den Adminbereich einzuloggen, das wird dir nicht gelingen. Entsprechend kannst du auch keine Änderungen an der Seite vornehmen.

Deine "Lösung" mit Javascript ist auch irgendwie sinnfrei. Gehen wir mal davon aus, dass wirklich eine Sicherheitslücke vorläge, dann könnte man das Javascript ganz einfach ausschalten und das wars dann mit deiner Lösung.

Forum: https://www.psychose-online.net

Antworten

Beitrag melden

#7

20.08.2017 07:53 (zuletzt bearbeitet: 20.08.2017 08:09)

Wolfgang
#7 RE: Target-Sicherheitslücke schließen

Wolfgang

Wow!
Hallo zusammen,
erstmal besten Dank für die viele Antworten.
Mir war es auch wichtig, einen Eindruck zu bekommen, wie ihr das seht oder ob ich mich da nur aufs falsche Gleis hab fahren lassen...

Zu Rud_:
Die JavaScript-Lösung ist eine Vorschlag, für Foren, die sehr viel mit 
target=_blank arbeiten.
Ansonsten hilft ja der manuelle Link-Eintrag aus Vorschlag 1. !
Angeblich soll es nur möglich sein, über ein JavaScript eine Umleitung 
oder eine Manipulation einzuleiten.
Wer sein Java ausschaltet, könnte dann eh keinen Schaden anrichten!

Zu Mike48:
Ich denke, dass es von Forum zu Forum verschieden ist und der Vorschlag nur
als Option unter z.B. Admin > Einstellungen > Sicherheit wählbar sein sollte...

Zu Fränki:
Ich habe nur das 3. Script $('a').attr('rel','noopener noreferrer') überprüfen können
und es funktioniert sehr gut!
Man kann dann über das Kontex-Menü und Untersuchen den zusätzlichen
Eintrag in jedem Link mit target="_blank" sehen!

Zu Rabendolch und River:
Mich hat Magister darauf gebracht hier mal hinzuschauen... 
Durch seine CB-Funk-Homepage ist er weltweit mit User aus aller Welt in Verbindung, 
die teilweise, weil es auch aus bestimmten Gründen nicht möglich ist,
noch mit IE 7 arbeiten müssen!
In den neuen Browsern ist diese Art der Sicherheitslücke natürlich geschlossen!

Bis dann
Wolfgang

Forum für Hilfe, Tricks & Tipps / Foren-Nr.: 104774 / Template: Business (V4) / Browser: Edge

Antworten

Beitrag melden

#8

20.08.2017 09:07

River
#8 RE: Target-Sicherheitslücke schließen

River

Hey Wolfgang,

Das mit den älteren Browsern habe ich mir schon gedacht. Es gibt natürlich auch Länder und Menschen, die sich z.B. gar keine neuen PCs leisten können oder aus sonstigen Gründen mit alten Browsern arbeiten.

Was FF betrifft, hab ich gesehen, dass ab FF 50+ oder so diese Lücke schon zu ist. Es ist müßig, alle Browser abzuklappern, aber aus diesem Grund - und weil wir hier ja von unseren Verhältnissen ausgehen müssen - wollte ich einfach das Problem relativieren, weil es doch Leser hier geben könnte, die weder die Update-Notwendigkeit verstehen, noch allgemeine Verhaltensregeln kennen.

Persönlich kenne ich Menschen, die lieber nicht updaten, weil sich dann die Oberfläche ändert und sie 'umlernen' müssen. Das ist natürlich gefährlich und deshalb eben mein Posting.

Außerdem wollte ich, dass deine Meldung objektiv in jeder Hinsicht betrachtet wird.

Prinzipiell finde ich deine Funde und Informationen ja regelmäßig wirklich interessant und hilfreich.

Also bitte weiter machen. ;)

Liebe Grüße
River

-------------------------------------------------------------

+++Ich will Computercrack werden! XD+++

Business Template (v4)

Antworten

Beitrag melden

#9

22.08.2017 17:36 (zuletzt bearbeitet: 22.08.2017 17:38)

Wolfgang
#9 Nachtrag: Target-Sicherheitslücke schließen

Wolfgang

Nachtrag:

1. Habe das Script für Verlinkungen mit <a>...</a> noch erweitert.
Jetzt wird "rel" nur eingefügt, wenn auch target="_blank" im Link vorhanden ist!
Interessanterweise erkennen soweit alle Browser "target", auch wenn es unterschiedlich eingetragen ist!

target="_blank" oder  target='_blank' oder target=_blank

1
2
3
4
5
 
<script type="text/javascript" language="JavaScript">
$(document).ready(function(){
$('a[target="_blank"]').attr('rel','noopener noreferrer');
});
</script>
 

2. Weiterhin hatte ich noch nach Lösungen für Verlinkungen mit "onclick" gesucht...
Hier hat mich Olaf bestens unterstützt!

1
 
<span onclick="window.open(this.href='www.server.de', rel='noopener noreferrer');">Neue Seite oder neuer TAB</span>

Wie schon erwähnt, muss man schauen, welche Variante jeweils für die eigene Webseite passt!

Aus meinem Forum: Sicherheitslücke "target� für ältere Browser schließen!

Bis dann und nochmal besten Dank an @Olaf und @River
Gruß Wolfgang

Forum für Hilfe, Tricks & Tipps / Foren-Nr.: 104774 / Template: Business (V4) / Browser: Edge

Antworten

Beitrag melden

#10

22.08.2017 18:02 (zuletzt bearbeitet: 22.08.2017 18:04)

Mike48
#10 RE: Nachtrag: Target-Sicherheitslücke schließen

Mike48

Irgendwo meine ich gelesen zu haben, dass nicht alle Browser rel=noopener kennen.
Finde ich momentan nicht wieder. Da war eine Liste mit Browsern und ihren Versionen und was sie unterstützen oder auch nicht. Da waren auch Browser bei, bei denen garkeine Version es unterstützt.

www.friends-of-xobor.de (621181 - V4 Template)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)

Antworten

Beitrag melden

#11

22.08.2017 20:18

Olaf
#11 RE: Nachtrag: Target-Sicherheitslücke schließen

Ol

Olaf

Zitat von Mike48 im Beitrag #10
Da waren auch Browser bei, bei denen garkeine Version es unterstützt.

,
Der Edge und das ewige Pflegekind IE gar nicht.
Ansonsten üterstützen alle neueren Versionen von FF,Chrome,Safari und Opera das "rel=noopener".

Gruß
Olaf

__________________________

http://138600.homepagemodules.de/

Antworten

Beitrag melden

#12

22.08.2017 21:35 (zuletzt bearbeitet: 22.08.2017 21:37)

Mike48
#12 RE: Nachtrag: Target-Sicherheitslücke schließen

Mike48

Da waren auch noch einige nicht so bekannte Browser bei.

Wolfgang redet aber vom Gebrauch älterer Browser wo er damit die Lücke schließen will.
Fraglich ob das etwas nützt.

Ich bin der Meinung, wer mit alten Browsern noch hantiert mit Sicherheitslücken wo Braunkohlebagger durchpassen und wahrscheinlich auch gar nicht mehr supportet werden, der muss mit den Lücken leben. Es gibt ja auch noch Leute die mit XP im Netz unterwegs sind. So einen PC habe ich vorige Woche noch in der Hand gehabt.

www.friends-of-xobor.de (621181 - V4 Template)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)

Antworten

Beitrag melden

#13

23.08.2017 10:37

Ingmar
#13 RE: Target-Sicherheitslücke schließen

Ingmar

Zitat von Wolfgang im Beitrag #1
So ist es möglich per "Javascript" den Inhalt der Ursprungsseite zu verändern.

Sofern mir das bekannt ist, kann mit dieser "Sicherheitslücke" nicht etwa der Inhalt der Ursprungsseite verändert werden, sondern die aufgerufene Adresse im Browser. Das ist ein ziemlich großer Unterschied.

Wenn ich also im Forum auf einen ohne Link mit target="_blank" und ohne "noopener"-Attribut klicke und dieser Link eine manipulierte Webseite öffnet ist es möglich, dass diese Webseite meinen Tab mit der Forenseite zu einer anderen Adresse umleitet.
Die URL des Tabs ändert sich dabei natürlich aber auch, so dass das für mich als Besucher durchaus sichtbar ist. Die "Sicherheit" der Forenseite wurde dabei in keiner Weise kompromittiert.

Dieses Verhalten kann man in neuen Browsern, die nicht von Micrsosoft kommen, durch Wolfgangs Script verhindern. In allen älteren Browsern oder solchen aus dem Hause Microsoft lässt sich das aber nicht verhindern.

Viele Grüße,
Ingmar