Security des tages

Beim tschättdingens vom fratzenbuch kann man jemanden pwnen, indem man ihm ein SVG-bild schickt.

Die Grafik enthält jedoch ein JavaScript […]

Ich musste tatsächlich erstmal nachschauen, ob das überhaupt in SVG vorgesehen ist. Und ja, es ist vorgesehen. Oh, henker, sauf blut!

Sicher, wir alle benötigen gescriptete vektorgrafiken! Und das muss in der standardeinstellung von jedem möglichen anzeigedingens auch immer vollumfänglich freigeschaltet sein, weil sonst für den überforderten anwender ja für den halben anwendungsfall pro jahrzehnt ein zweiter klick erforderlich wäre! Eigentlich muss man alles programmierbar machen, damit man auf jede nur erdenkliche weise kohd auf den rechnern anderer leute ausführen kann! Betrachten wir SVG-anzeigeprogramme oder entsprechende codecs doch einfach als eine anwendungsplattform, kann ja nicht schaden und hat bei den webbrausern auch geklappt (mit beachtlichen sicherheitsproblemen, aber drauf geschissen)! Und ansonsten alles andere so kohden, dass dieser kohd auch immer schön standardmäßig ausgeführt wird, weil die doofen anwender ja viel zu doof sind, das selbst abzunicken oder einzustellen! Genau so, wie es der tolle krohm von tante guhgell tut, der hier angegriffen wird! Was kann dabei schon passieren, wenn ein eventueller angreifer nicht irgendwelche fehler in XML-parsern oder vergleichbares ausbeuten muss, um über umwege kohd auszuführen, sondern diese möglichkeit direkt angeboten bekommt?

Hach, was waren das damals in den neunzigern noch schöne zeiten, als ich menschen auslachen konnte, wenn sie mich fragten, ob man sich beim angucken eines pr0n-bildes halbseidener herkunft ein kompjutervirus einfangen kann. Damals konnte man noch jedem menschen mit halbwegs normaler intelligenz der unterschied zwischen irgendwie von programmen verarbeiteten daten und einem kompjuterprogramm erklären. Das hat dann aber im laufe der zeit immer mehr aufgehört…

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s