Jaa


Facebook: IE9 als einziger gegen XSS Angriffe gerüstet

Nachdem die Cross-Site Scripting (XSS) Angriffe auf Facebook zunehmen, hat Facebook letzten Donnerstag die Zusammenarbeit mit Web of Trust bekannt gegeben:

https://www.facebook.com/notes/facebook-security/keeping-you-safe-from-scams-and-spam/10150174826745766

Wichtig für jeden “Surfer” ist dabei folgender Hinweis:

“We are also working with the major browser companies to fix the underlying issue that allows spammers to do this. Internet Explorer 9 has already put some protections in place, and we are talking with others about providing similar protections.”

Unter diesem Aspekt sieht Facebook den Internet Explorer 9 derzeit unangefochten an der Spitze der sicheren Browser, da in anderen Browsern (mit Ausnahme von Safari 5.0, der aber nur JavaScript filtern kann) derzeit keine Mechanismen gegen diese Form der Bedrohung implementiert worden sind.
Wenn man nun noch zusätzlich sinnvolle Einstellungen bei der Tracking Protection vorgenommen hat, so reduziert sich das Angriffspotential noch mal zusätzlich!

Technische Anmerkung dazu noch von meiner Seite: die XSS Mechanismen sind auch in Internet Explorer 8 schon enthalten und in IE9 noch weiter verbessert worden:

https://blogs.msdn.com/b/ie/archive/2008/07/02/ie8-security-part-iv-the-xss-filter.aspx
https://blogs.msdn.com/b/ieinternals/archive/2011/01/31/controlling-the-internet-explorer-xss-filter-with-the-x-xss-protection-http-header.aspx
https://windows.microsoft.com/en-US/internet-explorer/products/ie-9/features/cross-site-scripting-filter

 

Für die Tracking Protection auch mal einen Blick in die IE Gallery werfen: https://iegallery.com/de/trackingprotectionlists/default.aspx und eine der Tracking Protection Lists integrieren.

Übrigens: neben Facebook sieht auch der TÜV Trust IT den IE als sehr sicheren Browser: https://www.it-tuv.com/internet-explorer/

 

Cheers

Stephanus

Comments

  • Anonymous
    January 01, 2003
    Hallo Michael, wo Du recht hast, hast Du recht. Ich ändere den Artikel und gebe Safari 5 die Credits. VG, Daniel

  • Anonymous
    January 01, 2003
    The comment has been removed

  • Anonymous
    May 16, 2011
    The comment has been removed

  • Anonymous
    May 18, 2011
    Etwas off topic, aber eine Nerv-Sache beim IE9, für die es m.W: noch keine Lösung gibt: man kann Downloads nicht auf Netzlaufwerke speichern, außer bei den Shares hat everyone full access. Könnte hierzu mal bitte jmand was sagen, denn für Firmennetzwerke ist das nicht machbar. Seehe auch social.technet.microsoft.com/.../753b9c29-6312-4828-9d93-21217866a8c9 Danke und Gruß, Hans

  • Anonymous
    May 20, 2011
    und in Google Chrome funktionieren auch keine XSS über die Adresse. Allerdings würde Facebook nie Google loben, deshalb haben Sie das schön ignoriert.

  • Anonymous
    May 26, 2011
    The comment has been removed