iframe>. "/>

forcechemtech.com

  

Beste Artikel:

  
Main / Iframe lief von überall aus unsicheren Inhalten

Iframe lief von überall aus unsicheren Inhalten

15. November 2016. Die wichtigsten Namen haben heute ihre Zertifikate bereit und ihre Websites sind in Kraft, sicher. Aber sind Sie jemals gewandert: Die Antwort ist ein klares JA. Wie wir wissen, liefern Angreifer heute ihre böswilligen Nutzdaten über eine Vielzahl von Kanälen, und einer von ihnen ist Malvertising.

Sie kaufen billige Werbeflächen, um anscheinend für etwas zu werben, aber tief in diesen Bannern finden wir verschleierten Malware-Code. Wenn der Mensch hinter der Tastatur ein nicht versierter Benutzer war, lieferten Angreifer die volle böswillige Nutzlast, andernfalls gingen sie einfach vorbei und tarnten sich als unschuldige Werbetreibende eines Produkts.

Angreifer haben heutzutage ein Problem, da einige ihrer Tricks nur auf unsicheren Seiten funktionieren und Browser standardmäßig keine unsicheren Inhalte von sicheren Websites rendern. Wenn Angreifer gezwungen sind, ihren Code über HTTPS zu laden, schlagen viele ihrer Tricks wie das Erkennen von Dateien in Ihrem Dateisystem fehl. Beachten Sie Folgendes: Eine interessante Ausnahme ist die Tatsache, dass alle Browser unsichere Bilder ohne Einschränkungen laden und rendern lassen.

Mit anderen Worten, wenn Angreifer bereits in einem Netzwerk schnüffeln, können sie Bilder im laufenden Betrieb anzeigen und ersetzen. Dies scheint jedoch keine echte Bedrohung für die Endbenutzer darzustellen. Es ist sinnvoll: Beachten Sie, dass sich das sichere Protokoll der Hauptadressleiste überhaupt nicht ändert. Das gleiche passiert bei Microsoft Edge, aber das Vorhängeschloss befindet sich links.

Wenn Sie experimentieren möchten, probieren Sie es hier live aus. Eine interessante Tatsache ist, dass beide Browser Pseudoprotokolle berücksichtigen: Nun, diese seltsamen Protokolle werden von Angreifern verwendet, um Inhalte von Ihrer Festplatte zu laden und das Vorhandensein lokaler Dateien zu erkennen. Wenn die Hauptseite jedoch sicher ist, Sie werden ein großes Problem haben: Denken Sie einen Moment darüber nach: Das schien zu funktionieren, der Inhalt wurde endlich geladen.

Als Forscher scheint dieser Befund interessant, aber aus Sicht eines Angreifers nicht nützlich zu sein. Die Warnung zeigt eine falsche Meldung an, da unsicherer Inhalt angezeigt wird. Das Problem tritt beim unsicheren Bing auf.

Mit anderen Worten, verschachtelte Iframes müssen auch in unsicheren übergeordneten Iframes sicher sein. Wir brauchen eine bessere Alternative. Um die Warnmeldung zu umgehen, stieß die Lösung auf mich.

Ich war wirklich überrascht, dass etwas so Grundlegendes den Trick machte: Kann es so einfach sein? IE hat keine Ahnung, dass dieser Inhalt gerendert wird und jeder verschachtelte Iframe ohne Störungen geladen wird. Edge ist anfällig für den Umleitungstrick, aber das Dokument. Warnung vor gemischten Inhalten Angreifer haben heutzutage ein Problem, da einige ihrer Tricks nur auf unsicheren Seiten funktionieren und Browser standardmäßig keine unsicheren Inhalte von sicheren Websites rendern.

Bilder sind erlaubt Eine interessante Ausnahme ist die Tatsache, dass alle Browser unsichere Bilder ohne Einschränkungen laden und rendern lassen. Der folgende Iframe rendert einen unsicheren http-Bing. Der folgende Iframe rendert eine unsichere http-Seite, auf der ein Dokument erstellt wird. Der HTML-Code im Iframe ist ganz einfach: Twitter teilen.

(с) 2019 forcechemtech.com