Frame-Fälscher im WWW

Sicherheitsberater der kanadischen SecureXpert Labs haben auf ein Problem hingewiesen, das vermutlich alle aktuellen WWW-Browser betrifft: Bei der Darstellung von Web-Seiten, die aus mehreren Rahmen (Frames) aufgebaut sind, können Teile der Seiten durch fremde WWW-Sites überschrieben werden, die der Surfer zur gleichen Zeit in einem anderen Fenster betrachtet - auch Seiten, die über das verschlüsselte Sicherheits-Protokoll SSL geladen wurden, sollen davor nicht geschützt sein. Eine WWW-Site könnte in einem fremden Fenster beispielsweise Angaben erbitten, die man ihr selbst gegenüber nicht machen würde: Denkbar wäre beispielsweise eine vorgetäuschte PIN-Abfrage in einem Frame der eigenen Bank. Außerdem könnten in die Seiten einer vermeintlich zuverlässigen Quelle, etwa dem Online-Angebot renommierter Zeitungen, falsche Nachrichten eingefügt werden.

Der Angriff benötigt keinerlei aktive Inhalte wie Java, JavaScript oder ActiveX, sondern basiert auf bloßem HTML-Code und einer mangelhaften Implementierung der Internet-Software. Eine Demonstration ist auf den WWW-Seiten der SecureXpert Labs verfügbar. Der einzige Schutz besteht derzeit darin, jeweils nur ein Browser-Fenster zu benutzen oder Inhalte von Seiten mit Frames entsprechend mißtrauisch zu beurteilen. Netscape und Microsoft haben das sogenannte "Frame-Spoofing" bislang nicht kommentiert. (nl)