<![CDATA[Informationen für CMS/made simple / target=_blank - eine Sicherheitslücke in Sozialen Medien]]> http://www.cmsmadesimple.de/forum/viewtopic.php?id=4861 Sun, 04 Sep 2016 06:49:01 +0000 FluxBB <![CDATA[Re: target=_blank - eine Sicherheitslücke in Sozialen Medien]]> http://www.cmsmadesimple.de/forum/viewtopic.php?pid=39178#p39178 Für's Protokoll wink:

nockenfell schrieb:

Gefährdet sind hier vor allem soziale Medien wie Facebook.

Könnte aber auch für CMSMS-Anwender relevant werden, sobald auf der Webseite Besuchereingaben möglich sind, wie zum Beispiel die FE-Aktion beim News-Modul, beim CGFeedback-Modul und beim GBook-Modul (Gästebuch)

nockenfell schrieb:

Als Webseitenbetreiber, welcher target=_blank verwendet, kann man seine Benutzer wie folgt schützen:

<a href="http://www.seite.com" target="_blank" rel="noopener noreferrer">Neue Seite</a>

Falls gewünscht und erforderlich, kann dies automatisiert über den Smarty-Tag replace ersetzt werden

{$entry->userinput|replace:'target="_blank"':'target="_blank" rel="noopener noreferrer"'}

wobei $entry->userinput die jeweilige Variable ist, die die Eingaben des Benutzers enthält.

http://www.smarty.net/docs/en/language. … eplace.tpl

]]> Sun, 04 Sep 2016 06:49:01 +0000 http://www.cmsmadesimple.de/forum/viewtopic.php?pid=39178#p39178 <![CDATA[Re: target=_blank - eine Sicherheitslücke in Sozialen Medien]]> http://www.cmsmadesimple.de/forum/viewtopic.php?pid=39175#p39175 Danke für die Ergänzung.

]]> Fri, 02 Sep 2016 13:00:08 +0000 http://www.cmsmadesimple.de/forum/viewtopic.php?pid=39175#p39175 <![CDATA[Re: target=_blank - eine Sicherheitslücke in Sozialen Medien]]> http://www.cmsmadesimple.de/forum/viewtopic.php?pid=39174#p39174 Wer ausprobieren will, ob sein Browser betroffen ist, kann das hier testen:
https://mathiasbynens.github.io/rel-noopener/
Beim Cross-Origin Beispiel warnt mich Firefox, dass die Ursprungsseite Seite plötzlich umleiten will.
Dazu gibt es einerseits eine Einstellung: "Erweitert" › "Allgemein" die Option "Warnen, wenn Webseiten versuchen umzuleiten oder neuzuladen"
Außerdem gibt es noch das AddOn RequestPolicy. RequestPolicy warnt unabhängig von dieser Einstellung.

]]> Fri, 02 Sep 2016 10:28:58 +0000 http://www.cmsmadesimple.de/forum/viewtopic.php?pid=39174#p39174 <![CDATA[target=_blank - eine Sicherheitslücke in Sozialen Medien]]> http://www.cmsmadesimple.de/forum/viewtopic.php?pid=39173#p39173 T3N hat einen interessanten Artikel zu target=_blank veröffentlicht
http://t3n.de/news/facebook-sicherheits … nk-742146/

Wird ein Link mit target=_blank geöffnet, öffnet sich ein neues Browserfenster. Durch den dabei ausgeführten Befehl  window.opener erhält die neue Seite Zugriff auf das bisherige Browserfenster. So ist es möglich, via Javascript möglich den Inhalt der Ursprungsseite zu verändern. Gefährdet sind hier vor allem soziale Medien wie Facebook.

Als Webseitenbetreiber, welcher target=_blank verwendet, kann man seine Benutzer wie folgt schützen:

<a href="http://www.seite.com" target="_blank" rel="noopener noreferrer">Neue Seite</a>

mit dem rel="noopener noreferrer" setzt man den window.opener auf Null.

]]> Fri, 02 Sep 2016 08:49:55 +0000 http://www.cmsmadesimple.de/forum/viewtopic.php?pid=39173#p39173