Bitte geben Sie einen Grund für die Verwarnung an
Der Grund erscheint unter dem Beitrag.Bei einer weiteren Verwarnung wird das Mitglied automatisch gesperrt.
Target-Sicherheitslücke schließen
#1 Target-Sicherheitslücke schließen
Habe da etwas gefunden!
Mit target=“_blank” werden Web-Links veranlasst im neuen Fenster, im neuen TAB zu öffnen! Sehr hilfreich und nützlich!
Aber!
Durch den dabei ausgeführten Befehl erhält die sich neu öffnende Seite Zugriff auf das bisherige Browserfenster. So ist es möglich per "Javascript" den Inhalt der Ursprungsseite zu verändern.
Nutzt man einen älteren Browser, kann diese Sicherheitslücke Schwierigkeiten machen!
Lösungen:
1. Mit einem zusätzlichen Linkeintrag, wird eine Umleitung verhindert!
<a href="https://www.server.de" target="_blank" rel="noopener noreferrer">Neuer TAB</a>
2. Habe im Web einige Lösungen mit JavaScript gefunden, kann sie aber nicht alle überprüfen:
1
2
3
4
5
<script>
if (args.FieldValue.Contains("_blank")) {
renderer.Parameters.Add("rel", "noopener noreferrer")
};
</script>
oder
1
2
3
4
5
6
7
8
9
<script>
$(document).on("click", '[target="_blank"]', function (e) {
var newWin = window.open();
e.stopPropagation;
e.preventDefault();
newWin.opener = null;
newWin.location = this.href;
};
</script>
oder (funktioniert für Links mit <a>...</a>)
1
2
3
4
5
<script>
$(document).ready(function(){
$('a').attr('rel','noopener noreferrer');
});
</script>
3. Oder funktioniert ein Meta-Tag Eintrag?
1
<meta name="referrer" content="no-referrer-when-downgrade">
***********************************************************************
Frage:
Habe für mein Online-Radio einen Linkaufruf mit "onclick" genutzt!
Welches Script funktioniert da????
<span class="webradio10" onclick="window.open(this.href='//webradio.ffh.de', '_blank', ''); return false;">FFH Hitradio</span>
************************************************************************
Mein Vorschlag:
Eine Link-Sicherung mit jedem Linkaufruf automatisch einfügen!
Gibt es hier eine Vorab-Lösung?
Wer weiß weiter?
Oder wird alles nicht so heiß gegessen, wie es gekocht wird?
Aus meinem Forum:
Sicherheitslücke "target” für ältere Browser schließen!
Gruß
Wolfgang
Hallo @Wolfgang
...ich habe mal das letzte script ausprobiert, welches du auch auf deiner Seite gepostet hast.
Müsste dann nicht im Anschluss das zusätzliche Attribut im Quelltext bei target_blank links zu sehen sein ?
MfG
#3 RE: Target-Sicherheitslücke schließen
Laienfrage: Wäre es nicht einfacher, die Leute halten ihren Browser aktuell?
Ich mein, DIESE Sicherheitslücke ist doch nur eine von vielen, die bei überalterten Browsern winken. Ich weiß ja, dass einige Leute entweder ihre Browser aus Prinzip nicht aktualisieren oder an teils ganz antiquarischen Teilen hängen, wo es teils nicht mal mehr die Herstellerfirmen gibt glaube. Aber, um mal ein Beispiel aus dem realen Leben zu bringen, der moderne Mensch baut doch in seine Wohnungstüren mittlerweile auch Sicherheitzylinder ein und nicht mehr Schlösser mit Bartschlüsseln.
Ich find es schade um die Zeit, die ein Admin mit viel eigenem Code oder ein Programmierer reinsetzen müsste, um jede Lücke in alter Usersoftware mit Tricks zu umgehen. Kostet ja auch Geld (große Firmen kümmern sich nicht ohne Grund NICHT um diese alten Browser).
Wenn ich Artikel über diese Lücke lese, ist es ja nicht einfach damit getan, mit einem Script das rel="noopener" in alle Links mit target="_blank" einzubauen. Es gibt auch Anwendungen wo der Rückgriff auf die aufrufende Seite benötigt wird. Dieser Rückgriff ist ja kein Bug sondern ein Feature.
www.friends-of-xobor.de (621181 - Template kann wechsel bei Pluin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)
Zitat von Rabendolch im Beitrag #3
Ich find es schade um die Zeit
Es gibt ja bekanntlich Vorsichtsmaßnahmen, wenn man sich im Internet bewegt oder E-Mails versendet. Man soll ja auch keine E-Mails von fremden Absendern öffnen - als Beispiel. Die Zeit kann also darauf verwendet werden sich zu informieren, wann man aufpassen muss und wie man sich dann verhalten soll.
Was ältere Software (Browser) angeht, so muss keiner solche Browser verwenden. Man muss nur updaten. Dasselbe gilt für alle andere Software, die man auf dem Rechner hat.
Was diverse Plattformen (FB & Co.) angeht - nun ja - muss jeder selber wissen, ob er nicht lieber drauf verzichtet, aber auch dort können sich die User über Nebenwirkungen informieren.
Also, ich denke, es wird alles nicht so heiß gegessen wie es gekocht wird. ;)
Liebe Grüße
River
Zitat von Wolfgang im Beitrag #1
Durch den dabei ausgeführten Befehl erhält die sich neu öffnende Seite Zugriff auf das bisherige Browserfenster. So ist es möglich per "Javascript" den Inhalt der Ursprungsseite zu verändern. Nutzt man einen älteren Browser, kann diese Sicherheitslücke Schwierigkeiten machen!
Ohne Passwort und Zugriffsdaten lässt sich gar nichts ändern. Probiere mal, dich in einem neu geöffneten Tab in den Adminbereich einzuloggen, das wird dir nicht gelingen. Entsprechend kannst du auch keine Änderungen an der Seite vornehmen.
Deine "Lösung" mit Javascript ist auch irgendwie sinnfrei. Gehen wir mal davon aus, dass wirklich eine Sicherheitslücke vorläge, dann könnte man das Javascript ganz einfach ausschalten und das wars dann mit deiner Lösung.
#7 RE: Target-Sicherheitslücke schließen
Wow!
Hallo zusammen,
erstmal besten Dank für die viele Antworten.
Mir war es auch wichtig, einen Eindruck zu bekommen, wie ihr das seht oder ob ich mich da nur aufs falsche Gleis hab fahren lassen...
Zu Rud_:
Die JavaScript-Lösung ist eine Vorschlag, für Foren, die sehr viel mit
target=_blank arbeiten.
Ansonsten hilft ja der manuelle Link-Eintrag aus Vorschlag 1. !
Angeblich soll es nur möglich sein, über ein JavaScript eine Umleitung
oder eine Manipulation einzuleiten.
Wer sein Java ausschaltet, könnte dann eh keinen Schaden anrichten!
Zu Mike48:
Ich denke, dass es von Forum zu Forum verschieden ist und der Vorschlag nur
als Option unter z.B. Admin > Einstellungen > Sicherheit wählbar sein sollte...
Zu Fränki:
Ich habe nur das 3. Script $('a').attr('rel','noopener noreferrer') überprüfen können
und es funktioniert sehr gut!
Man kann dann über das Kontex-Menü und Untersuchen den zusätzlichen
Eintrag in jedem Link mit target="_blank" sehen!
Zu Rabendolch und River:
Mich hat Magister darauf gebracht hier mal hinzuschauen...
Durch seine CB-Funk-Homepage ist er weltweit mit User aus aller Welt in Verbindung,
die teilweise, weil es auch aus bestimmten Gründen nicht möglich ist,
noch mit IE 7 arbeiten müssen!
In den neuen Browsern ist diese Art der Sicherheitslücke natürlich geschlossen!
Bis dann
Wolfgang
Hey Wolfgang,
Das mit den älteren Browsern habe ich mir schon gedacht. Es gibt natürlich auch Länder und Menschen, die sich z.B. gar keine neuen PCs leisten können oder aus sonstigen Gründen mit alten Browsern arbeiten.
Was FF betrifft, hab ich gesehen, dass ab FF 50+ oder so diese Lücke schon zu ist. Es ist müßig, alle Browser abzuklappern, aber aus diesem Grund - und weil wir hier ja von unseren Verhältnissen ausgehen müssen - wollte ich einfach das Problem relativieren, weil es doch Leser hier geben könnte, die weder die Update-Notwendigkeit verstehen, noch allgemeine Verhaltensregeln kennen.
Persönlich kenne ich Menschen, die lieber nicht updaten, weil sich dann die Oberfläche ändert und sie 'umlernen' müssen. Das ist natürlich gefährlich und deshalb eben mein Posting.
Außerdem wollte ich, dass deine Meldung objektiv in jeder Hinsicht betrachtet wird.
Prinzipiell finde ich deine Funde und Informationen ja regelmäßig wirklich interessant und hilfreich.
Also bitte weiter machen. ;)
Liebe Grüße
River
#9 Nachtrag: Target-Sicherheitslücke schließen
Nachtrag:
1. Habe das Script für Verlinkungen mit <a>...</a> noch erweitert.
Jetzt wird "rel" nur eingefügt, wenn auch target="_blank" im Link vorhanden ist!
Interessanterweise erkennen soweit alle Browser "target", auch wenn es unterschiedlich eingetragen ist!
target="_blank" oder target='_blank' oder target=_blank
2
3
4
5
<script type="text/javascript" language="JavaScript">
$(document).ready(function(){
$('a[target="_blank"]').attr('rel','noopener noreferrer');
});
</script>
2. Weiterhin hatte ich noch nach Lösungen für Verlinkungen mit "onclick" gesucht...
Hier hat mich Olaf bestens unterstützt!
<span onclick="window.open(this.href='www.server.de', rel='noopener noreferrer');">Neue Seite oder neuer TAB</span>
Wie schon erwähnt, muss man schauen, welche Variante jeweils für die eigene Webseite passt!
Aus meinem Forum: Sicherheitslücke "target” für ältere Browser schließen!
Bis dann und nochmal besten Dank an @Olaf und @River
Gruß Wolfgang
#10 RE: Nachtrag: Target-Sicherheitslücke schließen
Irgendwo meine ich gelesen zu haben, dass nicht alle Browser rel=noopener kennen.
Finde ich momentan nicht wieder. Da war eine Liste mit Browsern und ihren Versionen und was sie unterstützen oder auch nicht. Da waren auch Browser bei, bei denen garkeine Version es unterstützt.
www.friends-of-xobor.de (621181 - Template kann wechsel bei Pluin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)
#12 RE: Nachtrag: Target-Sicherheitslücke schließen
Da waren auch noch einige nicht so bekannte Browser bei.
Wolfgang redet aber vom Gebrauch älterer Browser wo er damit die Lücke schließen will.
Fraglich ob das etwas nützt.
Ich bin der Meinung, wer mit alten Browsern noch hantiert mit Sicherheitslücken wo Braunkohlebagger durchpassen und wahrscheinlich auch gar nicht mehr supportet werden, der muss mit den Lücken leben. Es gibt ja auch noch Leute die mit XP im Netz unterwegs sind. So einen PC habe ich vorige Woche noch in der Hand gehabt.
www.friends-of-xobor.de (621181 - Template kann wechsel bei Pluin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)
Zitat von Wolfgang im Beitrag #1
So ist es möglich per "Javascript" den Inhalt der Ursprungsseite zu verändern.
Sofern mir das bekannt ist, kann mit dieser "Sicherheitslücke" nicht etwa der Inhalt der Ursprungsseite verändert werden, sondern die aufgerufene Adresse im Browser. Das ist ein ziemlich großer Unterschied.
Wenn ich also im Forum auf einen ohne Link mit target="_blank" und ohne "noopener"-Attribut klicke und dieser Link eine manipulierte Webseite öffnet ist es möglich, dass diese Webseite meinen Tab mit der Forenseite zu einer anderen Adresse umleitet.
Die URL des Tabs ändert sich dabei natürlich aber auch, so dass das für mich als Besucher durchaus sichtbar ist. Die "Sicherheit" der Forenseite wurde dabei in keiner Weise kompromittiert.
Dieses Verhalten kann man in neuen Browsern, die nicht von Micrsosoft kommen, durch Wolfgangs Script verhindern. In allen älteren Browsern oder solchen aus dem Hause Microsoft lässt sich das aber nicht verhindern.
- Informationen
- Aktuelle News
- Forum Tutorials - Tipps und Anleitungen
- SEO / Werbung fürs Forum
- Verwaltung
- Extras
- Design
- Plugin(system)
- Eure Fragen zu Tutorials
- Forum Support
- Fragen und Antworten
- Pluginsystem
- Plugins
- Templates & Sprachen
- Bugreport
- Verbesserungsvorschläge
- Sponsoren gesucht
- Das neue Xobor Business-Template
- News und Updates
- Bugreport
- Allgemeines Feedback
- Verbesserungsvorschläge
- Sonstiges
- Kaffeeklatsch
- Lob & Kritik
- Verbesserungsvorschläge
- Allgemeine Fragen
- Fehlermeldungen
- Verbesserungsvorschläge Responsive Design
- Bugreport Responsive Design
- Archiv - Alter Betatest
- Responsive Design - Verbesserungsvorschläge
- Responsive Design - Bugreport
- Fragen zum neuen Template
- Neue Administration Beta Test
- Bugreport Neue Administration
- Allgemeines Fragen & Feedback
- Verbesserungsvorschläge zur neuen Administration
- Shoutbox
Ähnliche Themen
Thema | Antworten | Aufrufe | Letzte Aktivität | |||
---|---|---|---|---|---|---|
Kein Target Types Forum?Kein Target Types Forum? |
5
Mike48
29.02.2024 |
352 |
|
|||
Wer kann Plugin für Link Peview bauen?Wer kann Plugin für Link Peview bauen? |
0
dirk_71
02.04.2021 |
496 |
|
|||
Taget Type für Foren und KategorienTaget Type für Foren und Kategorien |
1
Mike48
10.12.2020 |
427 |
|
|||
Fehlermeldung MySQLFehlermeldung MySQL |
3
Gabriella
19.01.2015 |
444 |
|
|||
sehr lange Ladezeiten ... morgens extremsehr lange Ladezeiten ... morgens extrem |
0
Ludger
08.02.2013 |
459 |
|
|||
Obere Leiste: Links mit target="_blank"Obere Leiste: Links mit target="_blank"
erstellt von:
(
Gast
)
17.10.2009 11:02
|
1
Johannes
17.10.2009 |
289 |
|
|||
target="_blank" für Button Obere Leistetarget="_blank" für Button Obere Leiste |
3
Vitalis
28.02.2008 |
3061 |
|
Jetzt anmelden!
Jetzt registrieren!
© 2017 Xobor | Forum-Software