Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

27.02.1998 - 

Web-Sites bei Online-Dialogen verwundbar

Versteckte Felder in HTML bergen Sicherheitsrisiko

Hidden Form Fields werden in HTML-Formularen benutzt, bei denen Surfer Daten eingeben müssen. Die meisten dieser Datenfelder sind sichtbar. Andere Bereiche, die HTML-Programmierer für das Speichern von Informationen vorgesehen haben, bleiben jedoch verborgen ("hidden"). Hacker können sich dieser Formularfelder bedienen und Schaden anrichten. Beispielsweise wären sie laut Miora Systems in der Lage, sich unberechtigten Zugriff zu verschaffen, indem sie Felder auslesen, die Benutzernamen und Paßwörter für die Online-Authentifizierung gespeichert haben.

Noch Schlimmeres können Angreifer anrichten, wenn sie über diesen Weg Zugriff auf CGI-Programme erhalten. Auf diese Weise erlangen sie zum Beispiel direkten Zugang zu Datenbank-Servern, die mit dem Web-Server verbunden sind. Angriffspunkte liefern auch Transaktionssitzungen. Denn über Hidden Form Fields kann sich nach Aussage von MSC ein Hacker in eine Session einklinken und beispielsweise Geldüberweisungen manipulieren. Speichern Web-Anwendungen in versteckten Feldern sensible Firmeninformationen ab, lassen sich auch diese Daten ausspähen.

Eine von MSC entwickelte Lösung soll das Sicherheitsloch schließen. Es steht kostenlos unter http://www.miora.com im Internet zur Verfügung. Nach Unternehmensangaben können Web-Server-Betreiber diesen Fix ohne aufwendiges Redesign der Site einspielen. Ferner rät Miora Systems allen Web-Administratoren, ihre Homepages auf die Art der Nutzung unsichtbarer Felder hin zu überprüfen.