zurück zur Übersicht

The Line of Death – Pitfalls of HTML5

Anwendungen welche unkontrollierte Fremdinhalte darstellen können und sollen, wie jeder Web Browser, sind grundsätzlich ein Problem für IT-Security.

Targeting the Human

Der User ist das beliebteste Angriffsziel von Bösewichten im Internet – kann durch geschicktes Design dazu genutzt werden, den Anwender zu gefährlichen Aktionen zu bewegen. Das Angriffspotenzial ist vielfältig. Besonders brisant sind die neuen Möglichkeiten zum Phishing (Diebstahl von Credentials durch Täuschung von Nutzern, z.B. durch vorgetäuschte Loginseiten, mehr dazu im Beitrag Next Generation Phishing) . Ein geschickt platziertes, rein grafisches „Pseudo Pop-Up“ könnte den ein oder anderen Nutzer dazu verleiten seine Daten preiszugeben. Immerhin wähnt er sich durch die vermeintliche Adresszeile mit dem HTTPS-Icon in (trügerischer) Sicherheit:

Auch wenn es so aussieht: Dieses Login-Fenster ist KEINE gesicherte Verbindung zu PayPal. Es ist nur eine geschickt gemachte Ansammlung von Grafiken und Formularfeldern auf der Webseite selbst.
Auch wenn es so aussieht: Dieses Login-Fenster ist KEINE gesicherte Verbindung zu PayPal. Es ist nur eine geschickt gemachte Ansammlung von Grafiken und Formularfeldern auf der Webseite selbst.

Südlich der „Line of Death“ beginnt der Wilde Westen

In Web Browsern wird üblicherweise der obere Abschnitt des Anwendungsfensters von der Anwendung selbst kontrolliert während alles darunter durch die entsprechende Webseite kontrolliert wird. Die Grenzlinie ist mitunter auch als „Line of Death“ bekannt. Trotz zahlreicher mehr oder weniger subtilen Versuchen ist tatsächliche Sicherheit beim Browsen nur dann gegeben, wenn der Anwender genau weiß, welche angezeigten Inhalte vertrauenswürdig sind. Die „Line of Death“ ist also doch mehr eine „Zone of Death“ mit mehreren Abstufungen:

Zone 1 wird komplett vom möglichen Angreifer kontrolliert und ist damit absolut nicht vertrauenswürdig.

Zone 2, vorausgesetzt es besteht eine HTTPS Verbindung, kann als vertrauenswürdig bezeichnet werden, vorausgesetzt der Anwender ist absolut sicher, dass er genau diese Seite aufrufen will.

In Zone 3 wird der Pfad der aktuell aufgerufenen Seite angezeigt. Dies ist wiederum nicht vertrauenswürdig. Zertifikatsprüfungen sind unabhängig von möglichen Manipulationen im Pfad.

Die Zone 4 ist komplett anarchisch, hier geht alles. Insbesondere auf fensterbasierten Betriebssystemen wie etwa Windows ist durch die Möglichkeit ganze Fenster zu imitieren, inklusive der „vertrauenswürdigen“ Zonen, absolute Vorsicht geboten.

HTML5 ist die Zukunft aber sicherer wird sie kaum

Das moderne Internet basiert weitestgehend auf HTML5. Die dadurch gegebenen grafischen Möglichkeiten heben bei der Erstellung von Fake-Seiten die meisten Grenzen auf. Aber das ist noch nicht alles. Die „Zone of Death“ in HTML5 sieht düster aus:

Die Vollbild API in HTML5 nimmt dem Anwender sämtliche Anhaltspunkte, welche Inhalte vertrauenswürdig sind. Wie es hier weitergeht ist eine Herausforderung für Security Designer. Derzeit ist die Feature Einschränkung bei Web Browsern der einzige Weg diesen Untiefen entgegen zu wirken. Bis es etablierte Wege gibt mit sogenannten „Trusted Gestures“ und anderen Ansätzen verifizieren zu können, dass das was man sieht, auch das ist, womit man im Internet interagieren möchte.

Eine tiefergehende Erläuterung des Konzepts und der Problematik um die „Line of Death“ ist auf hier zu finden, dem persönlichen Blog von Eric Lawrence – Entwickler des Web Debugging Proxies Fiddler, jahrelanger Microsoft-Mitarbeiter und Mitarbeiter des Chrome Security Teams.

 

Schreibe einen Kommentar