Security des tages

Die aktuelle Firmware 1.0.20 des WLAN-Routers EVW3226 von Ubee ist verwundbar. Setzt ein Angreifer bei der Lücke an, kann er ohne Authentifikation Einstellungen manipulieren und im schlimmsten Fall das Gerät kompromittieren […] In Deutschland setzt der Internet-Provider Unitymedia das Gerät bei Kunden ein

Hej, und lasst euch nicht davon beruhigen, dass der angriff „nur lokal“ möglich ist! Wenn verbrecher irgendeine webseit mit permanent-XSS-anfälligkeit verseuchen, dann wird das admin-passwort eben unauffällig über javascript abgeholt¹, wenn man diese webseit ansurft — wenn man jeder website das privileg einräumt, beliebigen kohd im brauser ausführen zu dürfen, ist eine hürde wie „nur lokal“ eben keine hürde mehr. Deshalb gibt es noscript.

¹Natürlich kann das javascript auch über ein ad verbreitet werden. Aber es benutzt ja hoffentlich jeder einen adblocker!