Ich muss zugeben, dass ich nicht ganz verstehe, wo dabei das Sicherheitsproblem liegt.
Wenn der Benutzer eine Webseite aufruft und JavaScript aktiviert ist, dann kann die Webseite doch sowieso allen möglichen Unsinn anstellen (z.B. window.location.href setzen). Es braucht also gar nicht den Klick auf einen harmlos aussehenden Link, um den Nutzer auf eine bösartige Seite weiterzuleiten.
Anders sieht das Problem bei E-Mails aus: Hier ist es natürlich wichtig, dass der Nutzer vor dem Klicken weiß, wohin der Link führt. Da aber die meisten E-Mail-Clients standardmäßig JavaScript deaktiviert haben, dürften sie für diesen Angriff nicht anfällig sein.
Der einzigen Angriffsvektor, den ich sehe, ist der Fall, dass das onclick-Attribut in Links in manipulierbaren Inhalten nicht bereinigt wird. Das wäre dann aber ein klassicher Fall von Cross-Site-Scripting und muss in der Webanwendung und nicht im Browser behoben werden.
Letztes Jahrtausend
Das Thema hat doch einen ziemlichen Bart. Damals waren sogar noch Blinke-Gifs und Popup-Bomben aktuell. Und eben auch diverse Arten der JS-Eventhandler-Manipulation.
Dirk
Hä? Egal, ob mit oder ohne Javascript (btw. mit Javascript ist die Schrift hier total komisch hässlich), es ist bei mir nur der vordere Teil auf „/blog/archives/Links im Tarnkleid“ verlinkt, und zeigt das Archiv.
Manuel Schmitt (manitu)
Danke - ich hatte in der Tat den Link im Blog-Post falsch gesetzt.
anon
So macht es AFAIK Facebook bei ausgehenden Links. Wer drüber fährt sieht den eigentlichen Link. Wer draufklikct wird per JS auf eine Facebook Seite weitergeleitet, die den Aufruf vermutlich zählt, und den Besucher dann auf das eigentliche Ziel weiterleitet.
Das gab es vor zehn Jahren doch auch schon?! Nur das man damals dem Nutzer riet Javascript zu deaktivieren.
TM
AFAIK gehts bei dem FB-Redirector primär darum den genauen Referer zu verschleiern.
Bleistift
Das Ganze hat tatsächlich einen meterlangen Bart. Macht beispielsweise auch Google bei den Suchergebnissen seit Jahren schon so...
Andreas
Da war einfach wieder ein übereifriger Heise Author der nicht recherchiert hat, sondern nur irgendwo das ganze gefunden hat.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Sebastian Marsching
Wenn der Benutzer eine Webseite aufruft und JavaScript aktiviert ist, dann kann die Webseite doch sowieso allen möglichen Unsinn anstellen (z.B. window.location.href setzen). Es braucht also gar nicht den Klick auf einen harmlos aussehenden Link, um den Nutzer auf eine bösartige Seite weiterzuleiten.
Anders sieht das Problem bei E-Mails aus: Hier ist es natürlich wichtig, dass der Nutzer vor dem Klicken weiß, wohin der Link führt. Da aber die meisten E-Mail-Clients standardmäßig JavaScript deaktiviert haben, dürften sie für diesen Angriff nicht anfällig sein.
Der einzigen Angriffsvektor, den ich sehe, ist der Fall, dass das onclick-Attribut in Links in manipulierbaren Inhalten nicht bereinigt wird. Das wäre dann aber ein klassicher Fall von Cross-Site-Scripting und muss in der Webanwendung und nicht im Browser behoben werden.
Letztes Jahrtausend
Dirk
Manuel Schmitt (manitu)
anon
Das gab es vor zehn Jahren doch auch schon?! Nur das man damals dem Nutzer riet Javascript zu deaktivieren.
TM
Bleistift
Andreas