Wettbewerb um kürzesten Cross-Site-Scripting-Wurm
Um einen der kommenden Feinde des Web 2.0 besser kennenzulernen, hat der in einschlägigen Kreisen bekannte Hacker RSnake einen Wettbewerb um den kürzesten Cross-Site-Scripting-Wurm ausgerufen. Einen Preis gibt es nicht, nur den Ruhm.
- Daniel Bachfeld
"Kenne Dich selbst, kenne Deinen Feind und Du musst einhundert Schlachten nicht fürchten", stellte schon der chinesische Feldherr Sun Tzu im dritten Jahrhundert (v. Chr.) fest. Um einen der kommenden Feinde des Web 2.0 besser kennenzulernen, hat der in einschlägigen Kreisen bekannte Hacker RSnake einen Wettbewerb für den kürzesten Cross-Site-Scripting-Wurm ausgerufen. Einen Preis gibt es nicht, nur den Ruhm. Auf die Idee zu dem Wettbewerb ist RSnake nach eigenen Angaben im Laufe einer Diskussion über vorhandene XSS-Würmer gekommen.
Da Cross-Site-Scripting derzeit immer noch von vielen Webseiten-Betreibern und auch Anwendern als Gefahr unterschätzt wird, bleibt zu hoffen, dass ein öffentlicher Wettbewerb das Bewusstsein dafür schärfen könnte. Allerdings kann die im Rahmen des Wettbewerbs anfallende "Ideensammlung" in den falschen Händen auch erheblichen Schaden anrichten. Zuletzt verbreitete sich ein JavaScript-Wurm über die Social-Networking-Seite Orkut und infizierte mehrere hunderttausend Profile. Davor machten XSS-Würmer wie Samy von sich reden, der 2005 MySpace lahmlegte und YaManner, der sich über Yahoo!Mail verbreitete.
Der Wettbewerb geht noch bis Donnerstag, den 10. Januar. Die Ergebnisse können aktuell als Kommentar zum Aufruf gepostet werden. Einige sind bereits einzusehen. Alternativ nimmt sie RSnake auch als Mail entgegen und veröffentlicht den Code nach Ende des Wettbewerbs.
Der Code muss bestimmten Anforderungen genügen, so darf er keine Nutzerinteraktion auf einer Webseite erfordern und muss mindestens im Internet Explorer 7 und Firefox 2.x lauffähig sein. Zudem muss er mindestens auf dem Webserver Apache 1.3.x und 2.x arbeiten. Darüber hinaus gibt es auch Beschränkungen. Unter anderem darf er bei seiner Verbreitung nicht wachsen, und er darf sich nicht als übergebener Parameter einschmuggeln. Zudem ist es nicht erlaubt, irgendwelche Daten aus Cookies oder GET-Parametern zu benutzen. Eine genaue Liste der Anforderungen ist hier zu finden: Diminutive XSS Worm Replication Contest.
Dass die Teilnahme für Deutsche aufgrund des so genannten Hackerparagraphen ein Problem darstellt, ist kaum anzunehmen. Nach Meinung von Juristen fällt ein XSS-Wurm nicht im eigentlichen Sinne unter den Paragraphen, da ein XSS-Wurm in der Regel nichts ausspähen muss, um sich zu verbreiten, und auch keine "Überwindung der Zugangssicherung" vornehmen muss. Allerdings gibt es dazu noch keine Rechtsprechung, sodass ein ermittelnder Staatsanwalt zu einem anderen Eindruck kommen könnte. (dab)
