Javascript des tages

Nicht nur für den webbrauser ist javascript eine gefährliche sache, es kann auch den sörver gefährden:

Laut bisherigen Erkenntnissen wurden die Server von Eltima gehackt – über eine Sicherheitslücke in der tiny_mce-JavaScript-Bibliothek

Wer „tinymce“ nicht kennt: das ist ein in javascript realisierter WYSIWYG-editor, den man in sein webgefrickel verbauen kann, damit die anwender klicki-klicki einen link setzen können oder mal einen text fett setzen können. In der regel wird eine derartige funkzjonalität von anwendern gar nicht verwendet, weil sie damit schon überfordert sind — stattdessen setzen sie links, indem sie die URIs direkt ins textfeld reinkopieren. Aber hej, das zeug ist ja da und wird trotzdem überall verbastelt, weil es da ist und ein bisschen mehr den anschein erweckt, als sei eine „anwendung im brauser“ jetzt viel sinnvoller und benutzerfreundlicher. Wenn da ein so übel ausbeutbarer fehler drinsteckt, möchte ich nicht wissen, wie oft alte versjonen von dem dingens irgendwo verbaut sind, ohne dass sich noch jemand gedanken darüber macht — und wie viele derartige cräcks es demnächst noch geben wird.

Dass das schlangenöl mit „signiertem kohd zur erhöhung der sicherheit“ wieder einmal versagt hat, überrascht mich übrigens nicht. Diese idee diente vom ersten tag an nur zur errichtung von neuen geschäftsmodellen, um entwicklern schlüssel verkaufen zu können, aber nicht zur erhöhung irgendeiner sicherheit.

3 Antworten zu “Javascript des tages

  1. Hast Du ggf. nähere Angaben zu der Lücke im TinyMCE, z.B. betroffene Versionen o.Ä.? Der TinyMCE ist ja auch bei Joomla dabei und der JCE basiert darauf.

    Der Heise Artikel schweigt sich darüber aus und scheint ja nur eine weitgehende, übersetzte Kopie des ZDNet Artikels zu sein – toller Journalismus. Aber steht ja auch nur bei Mac & i und nicht bei Heise Security.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.