Sicherheit im Web-2.0-Zeitalter

Sicherheit im Web-2.0-Zeitalter

18. August 2006 - Web 2.0 bringt nicht nur interaktive Anwendungen ins Internet. Es öffnet auch Sicherheitslücken und kompromittiert die Privatsphäre.
Artikel erschienen in IT Magazine 2006/14

Das Web der Generation 2 ist definitiv cool. Anwendungen wie Wikipedia, Flickr, MySpace und so weiter ziehen Millionen von Usern an - die unzähligen Blogs noch gar nicht mitgerechnet.
Der Hype um die neuen Web-Anwendungen erinnert aber auch fatal an die Dotcom-Blase Ende der 90er Jahre. Die Geschichte wiederholt sich, mit allen Zutaten wie einer unüberschaubaren Menge von Start-ups, völlig überteuerten Firmenübernahmen (580 Millionen Dollar für MySpace) und kostspieligen, aber nicht unbedingt nutzbringenden Konferenzen.
Und nicht wenige Experten sehen sich auch an die frühen Tage der Softwareentwicklung erinnert, als sich alles um Features drehte und kein Mensch einen Gedanken an Sicherheit verschwendete.


Sicherheit bleibt aussen vor

Tatsächlich warnen derzeit zahlreiche Sicherheitsspezialisten, darunter F-Secure, Kaspersky Lab und Sophos, vor den Gefahren, die von den Web-2.0-Anwendungen ausgehen. Und einige davon wurden ja auch bereits von Würmern angegriffen. So wurde beispielsweise im Frühsommer dieses Jahres Yahoo Mail vom Yamanner-Wurm heimgesucht. Dieser sammelte Yahoo-Adressen und verbreitete sich durch die Kombination von AJAX und einer Java­Script-Lücke.
Auch MySpace hat bereits Erfahrungen mit Angriffen gemacht, und zwar gleich mehrmals. Im vergangenen Herbst hat der Cross-Site-Scripting-Wurm Samy seinem Autor innert weniger Stunden einige hunderttausend Freunde beschert, im Juli 2006 hat der auf einem Flash-Bug basierende Spaceflash-Wurm die «About Me»-Seiten vieler User verunstaltet, und bloss eine Woche später wurde bekannt, dass ein präpariertes Werbebanner über längere Zeit versucht hat, MySpace-Besucher mit Spyware zu infizieren.
Web-2.0-Anwendungen als Virenschleudern? Keine schöne Vorstellung für die Betreiber der Sites, aber eine, an die sie sich wohl gewöhnen müssen. Denn die für Web 2.0 verwendeten Technologien wie AJAX (Asynchronous JavaScript And XML) machen die Websites nicht nur interaktiver, sondern bieten Hackern auch eine Menge von Möglichkeiten, Webserver anzugreifen, Viren und Würmer ohne Zutun der Anwender zu verbreiten und Userdaten zu sammeln. Dadurch, dass in Web-2.0-Anwendungen ein ständiger Datenaustausch zwischen Server und Browser stattfindet und JavaScripts auf beiden Seiten ausgeführt werden, wächst die Angriffsfläche im Vergleich zu herkömmlichen Webanwendungen enorm.
Angreifbar sind auch RSS-Feeds, wie unlängst bekannt wurde. So können bei den unter dem Namen Feed-Injection benannten Attacken beispielsweise durch Cross-Site-Scripting, Key-Logging oder Cross-Site Request Forgery bösartige Codes auf fremde Rechner geschleust oder Informationen abgefangen oder manipuliert werden.

 
Seite 1 von 3

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER