IT-Sicherheitsbehörde der EU regt Verbesserungen bei Webstandards an

Die ENISA hat 13 aktuelle Webstandards untersucht und dabei 51 mögliche Sicherheitsrisiken festgestellt. Sie schlägt unter anderem Änderungen an den jeweiligen Normen vor, um diese Lücken zu stopfen.

In Pocket speichern vorlesen Druckansicht 13 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Christian Kirsch

Die IT-Sicherheitsbehörde der EU (ENISA, European Network and Information Security Agency) kommt In einer jetzt veröffentlichten Untersuchung (PDF) von Webstandards zu dem Schluss, dass in den 13 betrachteten Normen mindestens 51 potenzielle Gefährdungen für Nutzer stecken. Als größte Schwachstellen bezeichnen die Autoren der Studie CORS (Cross-Origin Resource Sharing), Web-Messaging, Content-Handler und Formulare in HTML 5, das "Clickjacking" im Zusammenhang mit dem sandbox-Attribute von IFRAME-Elementen sowie die Geo-Location Caching API. Sie schlagen zur Abhilfe unter anderem vor: die Entwicklung eines Rechtesystems, klarere Anforderungen an der Benutzerführung des Browsers sowie einen W3C-Standard zum privaten Browsen.

Beim Webmessaging können Beteiligte Kommunikationsendpunkte an andere Webseiten weiterreichen.

(Bild: ENISA)

Da die CORS-Spezifikation es erlaube, in einem POST-Request beliebige Daten zu senden (statt der bisher nur zulässigen Schlüssel-Wert-Paare), könnten Angreifer APIs in anderen Domains oder "Cross-Channel-Scripting" (PDF) nutzen. Beim Web-Messaging zwischen zwei Frames wiederum könne einer der beiden den Kommunikationsendpunkt an eine andere Partei weiterreichen, da die über die Endpunkte versendeten Nachrichten keine Informationen über diese mehr enthielten. Das erlaube einer nicht vertrauenswürdigen Quelle, beliebige Nachrichten zu versenden.

Neu eingeführte Attribute bei INPUT-Elementen gestatten es, diese außerhalb von Formularen zu positionieren und sogar deren action- und method-Attribute zu überschreiben. Angreifer könnten dadurch, so die Studie, per HTML-Injektion Anwender dazu bringen, Formulare an von ihnen kontrollierte Server versenden. (ck)