21. April 2008
Paypal überlegt derzeit wie man sich besser vor Phishing schützen kann.
Eine Maßnahme wäre zum Beispiel ältere Browser ohne Phishing-Schutz zu blockieren. Paypal setzt verschiedene Sicherungsmaßnahmen ein um die Nutzer vor Phishing-Attacken zu bewahren.
In einem Whitepaper vom Paypal Chief Information Security Officer Michael Barrett und Senior Director of Risk Management Dan Lavy wird über die Maßnahmen beraten.
Weiterhin wird in dem Whitepaper erläutert das man beispielsweise Nutzern nur noch signierte E-Mails von Servern mit DomainKeys- und Sender-Policy-Framework-Unterstützung (SPF) zustellen möchte.
Diese Variante würde es den Providern ermöglichen Phishing E-Mails direkt auszufiltern ohne das sie an den Nutzer weitergeleitet werden.
Eine andere Sicherungsmaßnahme sind EV-SSL-Zertifikate (Extended Validation Secure Sockets Layer). In neueren Browsern, zum Beispiel der Internet Explorer 7 oder Firefox 3, werden die Adresszeilen, von Seiten mit diesem Zertifikat, grün gefärbt.
Als weitere Lücke wurde die Authentifizierung ins Auge gefasst. Das Problem hier besteht darin das die geklauten Daten Zugriff auf das Paypal-Konto erlauben.
Paypal will dies mit Tokens verhindern die Einmal-Passwörter liefern. Allerdings sind auch diese anfällig.
Als letztes möchte Paypal ältere Browser ohne aktiven Phishing-Schutz ausschließen. Derzeit gelten der Internet Explorer 7, Firefox und Opera ab Version 9.25 als sicher. Der Safari von Apple bietet derzeit kein Phishing-Schutz.
Zudem können weitere Webbrowser ausgeschlossen werden. Webbrowser vom iPhone, Nintendos Wii oder DS sind solche.
Das Problem besteht darin das die Browser zum Beispiel nicht vollständige Adresszeile anzeigen und Sicherheitsmechanismen fehlen.
Dies wurde auf der Usability, Psyschology, and Security Conference 2008 in San Francisco durch Forscher der University of California in einem Vortrag erläutert.
Paypal hat gegenüber ZDnet dementiert, das Apples Safari-Browser ausgesperrt werden soll. Dort wird eine Paypal Email zitiert: “Wir haben absolut nicht die Absicht, aktuelle Browser von unserer Webseite auszusperren, einschließlich Apples Safari.“
Diskussion zur Nachricht
Keine Kommentare » | 
Nicht kategorisiert | Getaggt: apple, browser, explorer, firefox, mail, paypal, phishing, safari, schutz, security | 
Permalink
Verfasst von ReneDD
18. April 2008
Apple wurde für die Verbreitung seines Safari Browsers per i-Tunes Update scharf kritisiert.
Der Safari Browser für Windows wurde im i-Tunes Update automatisch ausgewählt. Der Benutzer bemerkt dies erst mal nicht und installiert den Browser direkt mit dem Update für i-Tunes.
Apple hat das Update Tool nun geändert. Es wird jetzt zwischen “Updates” und “Neue Software” unterschieden. Leider ist der Safari immer noch standardmäßig ausgewählt.
Auf die Aufschreie der Kritiker wurde somit nur teilweise reagiert.
“Mit der jüngsten Version machen wir es Kunden einfacher, zwischen Software-Updates und neuen Anwendungen zu unterscheiden”, so ein Sprecher von Apple gegenüber Computerworld.
Die Nachfrage ob der Hacken noch deaktiviert wird wurde nicht kommentiert.
Diskussion zur Nachricht
Keine Kommentare » | Software | Getaggt: anwendungen, apple, browser, kunden, safari, Software, tunes, Update, updates, version | Permalink
Verfasst von ReneDD
17. April 2008
Mozilla hat die Version 2.0.14 von Firefox veröffentlicht. Apple hat die Version 3.1.1 von Safari veröffentlicht.
In beiden Browsern werden Sicherheitslücken behoben. Die neuen Versionen sollten schnellst möglich eingespielt werden da sie Phishing und das ausführen von Schadcode erlauben.
Die Lücke im Firefox betrifft den JavaScript-Garbage-Collector. Im letzten Update wurden Änderungen vorgenommen die nun zu einem Absturz führen können.
Das Problem besteht darin das durch diese Lücke wahrscheinlich auch Schadcode eingeschleust werden kann.
Die Lücken betreffen auf Thunderbird und Seamonkey. Leider sind für diese beiden Programme noch keine Updates erschienen.
Zwei Lücken im Safari betreffen nur die Windows Version, zwei weitere die Mac OS und Windows Version.
Durch präparierte Downloads kann der Browser zum Absturz gebracht werden, zudem ist es möglich dadurch Schadcode auszuführen.
Eine andere Lücke betrifft gefälschte Adresszeilen im Browser welche Phishing Attacken erlauben.
Das interessante daran ist, im der Version 3.0.2 Safari Beta wurden die Lücken geschlossen. In der Version 3.1 wieder eingebaut.
Die anderen Lücken betreffen Regular Expressions in JavaScript und können zu einem Pufferüberlauf führen. Durch diesen kann Schadcode eingeschleust und ausgeführt werden.
Die zweite Lücke, die beide Betriebssystem betrifft, ermöglicht Cross-Site-Scripting. Dazu muss nur die Adresszeile einer Website mit einem Doppelpunkt versehen werden.
Beide Browser, Safari und Firefox, werden automatisch über die interne Update Funktion aktualisiert.
Alternativ kann man sie auch manuell downloaden.
Firefox 2.0.14
Safari 3.1.1
Diskussion zur Nachricht
Keine Kommentare » | Sicherheit | Getaggt: browser, firefox, javascript, lücke, lücken, safari, schadcode, Update, version, windows | Permalink
Verfasst von ReneDD
2. April 2008
Der argentinische Hacker Juan Pablo Lopez Yacubian hat zwei Sicherheitslücken in dem aktuellen Safari Browser 3.1 für Windows entdeckt.
Diese Sicherheitslücken erlauben es falschen Inhalt auf einer Website anzuzeigen.
Es lässt sich auch schadhafter Code auf den Rechner einschleusen.
Demonstriert wurde das ganze mit Google Argentinien. Die Adresszeile wurde korrekt eingegeben. Der Inhalt war allerdings nicht der von Google.
Das ganze wird über Javaskript realisiert. Eine andere Seite läd ein Zip-Datei herunter. Diese bringt den Safari Browser ohne Meldung zum Absturz.
Unter Mac OS treten diese Lücken derzeit anscheinend nicht auf.
Allen Anwendern ist zu empfehlen keine Links oder Inhalte aus Emails zu öffnen.
Vor allem bei sensiblen Daten wie der eigenen Bank sollte man besonders vorsichtig sein.
Diskussion zur Nachricht
Keine Kommentare » | Sicherheit | Getaggt: absturz, adresszeile, browser, datei, google, inhalt, javaskript, meldung, safari, sicherheitslücken | Permalink
Verfasst von ReneDD
2. April 2008
Apple möchte mit allen Mitteln den Marktanteil von seinem Safari-Browser steigern.
Safari hat derzeit einen Marktanteil von gerade mal 5,7%. Mozilla’s Firefox und Microsoft’s Internet Explorer stehen da deutlich besser da.
Vor kurzem wurde Safari auf die Version 3.1 geupdatet. Seit dieser Aktualisierung wird der Browser, auf Windows PC’s, über die automatische Update Funktion von iTunes installiert.
Dabei ist es egal ob der Benutzer jemals den Safari-Browser genutzt hat oder nicht. Der automatische Download und die Installation kann nur verhindert werden wenn man beim Update den Safari-Download explizit ausschließt.
Der Mozilla Chef John Lilly verurteilt diese Art der Verbreitung in seinem Blog scharf.
Diese Art der Softwareverbreitung zerstört das mühsam aufgebaute Vertrauen der Benutzer in automatisierte Software Updates.
Diskussion zur Nachricht
Keine Kommentare » | Software | Getaggt: Update, mozilla, browser, safari, download, marktanteil, lilly, verbreitung, john, blog | Permalink
Verfasst von ReneDD
2. April 2008
PayPal warnt aktuell davor den Safari Browser von Apple zu nutzen.
Der Browser bietet keinen Phishing Schutz wie z.B. der FireFox, Internet Explorer 7 oder Opera 9.1
PayPal empfiehlt in seinem Sicherheitscenter den Internet Explorer 7 als sicheren Webbrowser.
Der Internet Explorer 7 färbt dank Unterstützung des neuesten SSL Standards die Adresszeile automatisch ein. Sollte die Seite als sicher eingestuft werden ist die Adresszeile grün.
Ist sie unsicher wird die Adresszeile rot.
Der Safari Browser besitzt gar keinen Phishing Schutz und wird derzeit auch auf dem iPhone eingesetzt.
Ob der Internet Explorer die richtige Wahl ist muss jeder für sich selbst entscheiden.
Diskussion zur Nachricht
Keine Kommentare » | Sicherheit | Getaggt: adresszeile, browser, explorer, Internet, paypal, phishing, safari, schutz, unsicher | Permalink
Verfasst von ReneDD
