l+f: Wenn der Firmenname zum Sicherheitsrisiko wird
Eine britische Firma musste ihren Namen ändern, da er Cross-Site-Scripting-Angriffe ermöglichte.
- Christoph Böttcher
Eigentlich wollte ein britischer Entwickler seiner neuen Beratungsfirma nur einen "lustigen und spielerischen Namen" geben. Dafür nutzte er HTML-Code, der einen Cross-Site-Scripting-Angriff auslösen kann. Verantwortliche des Companies House, die das britische Handelsregister führen, fanden das wohl weniger lustig.
Wie der Guardian berichtet, hieß die Firma ursprünglich "><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD
. Von manchen Websites könnte dieser Name als ausführbarer Code behandelt werden. Das in diesem Fall aufgerufene Skript führt dann ein Test-Skript der Seite xsshunter.com aus, mit dem man Schwachstellen für Cross-Site-Scripting aufspüren kann.
Gegenüber dem Guardian sagte der Entwickler, er hätte erwartet, dass der Name kein Problem darstelle. Die Regierungsseiten hätten einen guten Ruf in Sicherheitsfragen und es gab auch früher schon ähnliche Firmennamen. Das sah die Behörde offenbar anders: Der Firmenname lautet jetzt THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD.
Nicht der erste gefährliche Firmenname
In einem früheren Fall wählte ein Unternehmen einen SQL-Befehl als Namen aus: ; DROP TABLE “COMPANIES”;-- LTD
konnte dazu führen, dass SQL-Tabellen gelöscht werden. Hier musste sich die Firma nicht umbenennen, allerdings heißt es im Handelsregister lediglich "Company name available on request".
(cbo)