Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Web-2.0: Wie unsicher ist Twitter?

"Sicherheits-Knigge" macht auf Probleme durch Cross-Site-Scripting aufmerksam

Web-2.0: Wie unsicher ist Twitter?

26. März 2009, 23:57 Uhr |

Der Micro-Blogging-Dienst Twitter wird immer beliebter, sodass immer mehr Anwender diese Errungenschaft des Web-2.0 auch aus Firmennetzen heraus nutzen wollen: Viele Sicherheitsexperten aus Firmen wie Secure Sciences und Avira warnen vor den Risiken, die beim Einsatz dieser Techniken auftreten können. Dazu gehört unter anderem das Cross-Site-Scripting, mit dessen Hilfe es Hackern möglich sein soll, über Sicherheitslücken Malware auf die Rechner der Anwender einzuschleusen und auszuführen. Dabei reicht es schon aus, auf eine via Twitter versendete Kurz-URL zu klicken. Bereits 750 Twitter-Accounts sollen auf diese Weise bereits gehackt und zum Spam-Versand missbraucht worden sein.

Der deutsche IT-Sicherheitsexperte Avira warnt vor untergeschobenen iFrames, die per
Cross-Site-Scripting die heimischen Rechner kidnappen können und präsentiert den Anwendern einen
Web-2.0-Knigge für mehr Sicherheit bei der Nutzung der Social Networks:

1. Direkteingabe der URL: Anwender sollten Social Networks ausschließlich über Bookmarks oder
per Direkteingabe der URL in den Browser ansurfen.

2. Gesundes Misstrauen: Niemals sollten User auf Links klicken, die von Fremden geschickt
wurden. Gerade im Web 2.0 sind die Möglichkeiten der Verbreitung von Links viel weitreichender als
im traditionellen World Wide Web. Zur Überprüfung von Links, die Twitter gerne mit
Abkürzungsdiensten wie Tiny URL einfügt, kann man über die Adresse
tinyurl.com/preview.php?enable=1 für
seinen Browser eine Vorschau aktivieren – so landet man nicht sofort auf einer schädlichen Seite,
sondern bekommt auf der Tiny-URL-Seite zunächst den echten Link angezeigt.

3. Echtheit verifizieren: Nutzer sollten im Browser auf die Adresszeile achten, wenn die
Anmeldedaten verlangt werden. Ist das wirklich die Seite, die die Anmeldung offiziell vornimmt?

4. "Data Harvesting" ausschließen: Grundsätzlich gilt im Web 2.0, keine persönlichen Daten
preiszugeben, die den Einzelnen später belasten könnten oder anderen den physischen Weg zu einem
zurück weisen. Nutzer hinterlassen im Laufe ihres (Online-)Lebens zahlreiche Datenspuren. Die
unvorhergesehene Nutzungen der Daten durch Dritte ohne das Einverständnis der Betroffenen stellt
nur ein Szenario der vielschichtigen Web 2.0-Risiken dar.

5. Blog-Posting: Angriffe auf Besucher eines Blogs funktionieren über Posts, die Skripte und
Bilder mit Exploits oder einfach nur Links zu dubiosen Web-Seiten samt deren Schadcode enthalten.
Dabei gibt es aber keine Möglichkeit, vorab zu erkennen, welche Beiträge eines Blogging-Systems gut
oder schlecht sind. Um sich zu schützen, sollten User zum Bloggen einen alternativen Browser
verwenden, regelmäßig Security-Updates durchführen und die Sicherheitseinstellungen des Browsers
anpassen.

6. Produkte wie Webguard einsetzen: Eine Web-Anwendung wäre grundsätzlich nur dann sicher vor
XSS und Session Hijacking, wenn diese keine Eingabe des Anwenders erlauben und nur statische Seiten
verwenden würde. Dieses Szenario ist allerdings im Web-2.0-Umfeld unrealistisch. Jedes Eingabefeld
stellt ein potenzielles Risiko dar, dass Schadcode in die Web-Anwendung eingeschleust werden kann.
Die Premium Security Suite bietet beispielsweise mit der Funktion Webguard nach Angaben von Avira
einen umfassenden Schutz vor infizierten Web-Seiten und filtert digitale Übeltäter aus, bevor diese
den User erreichen können.

LANline/jos

Mehr zum Thema:

Falscher Windows-Support stiehlt vertrauliche Daten

http://llschnuerer.cmpdm.de//sites/cz/articles/wurm_spricht_deutsch_conficker-virus_befaellt_viele_deutsche_firmenrechner:/2009005/31804035_ha_CZ.html?thes=">Wurm
spricht Deutsch: Conficker-Virus befällt viele deutsche Firmenrechner

http://llschnuerer.cmpdm.de//sites/cz/articles/neue_variante_von_conficker_ist_noch_tueckischer:/2009009/31850148_ha_CZ.html?thes=">Neue
Variante von Conficker ist noch tückischer

http://llschnuerer.cmpdm.de//sites/cz/articles/conficker_microsoft_setzt_250000_dollar_kopfgeld_aus:/2009008/31838967_ha_CZ.html?thes=">Conficker:
Microsoft setzt 250.000 Dollar Kopfgeld aus

http://llschnuerer.cmpdm.de//articles/regelmaessige_sicherung_von_systemen_bietet_mehr_sicherheit_vor_bedrohungen_wie_conficker:/2009002/31820633_ha_LL.html?thes=">Regelmäßige
Sicherung von Systemen bietet mehr Sicherheit vor Bedrohungen wie Conficker

http://llschnuerer.cmpdm.de//articles/f-secure_70_prozent_schaetzen_die_gefahren_bei_der_internet-nutzung_falsch_ein:/2009002/31838059_ha_LL.html?thes=">F-Secure:
70 Prozent schätzen die Gefahren bei der Internet-Nutzung falsch ein

Lesen Sie mehr zum Thema

Lampertz GmbH & Co. KG
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit Mediatek-Chipsatz

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne Daten-Architekturlösungen

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von IT-Security-Prozessen

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom Homeoffice

Matchmaker+
HP Deutschland GmbH

HP Deutschland GmbH
Zyxel Networks A/S

Zyxel Networks A/S
Plusnet GmbH

Plusnet GmbH
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
easybell GmbH

easybell GmbH
G DATA CyberDefense AG

G DATA CyberDefense AG