|
IE: Popups ohne JavaScript Veröffentlicht am: 08.08.2003 07:44:41 ComputerBytesMan hat einen Design-Fehler im Internet-Explorer gefunden, über den sich sogenannte „Notepad-Popups“ mit Werbung und anderem öffnen lassen. Unabhängig von den im Browser oder Mail-Client eingestellten Sicherheitsoptionen können eingebettete "view-source"-Anweisungen in Webseiten oder HTML-E-Mails automatisch neue Programmfenster öffnen. Enthält der HTML-Code einer Webseite oder eines E-Mails einen Link oder IMG-Tag mit der View-Source Anweisung anstelle des üblichen Links, so wird das zum Betrachten von Quelltext assoziierte Programm - standardmäßig das Notepad - ohne Zutun des Anwenders gestartet. Spammer könnten das "Feature" zum Anzeigen von Werbetexten ausnutzen, denn ein Großteil der Popup-Blocker verhindert dieses Verhalten nicht und auch im IE ist dieser Tag natürlich nicht abschaltbar. Aber auch eine DOS (Denial of Service) Attacke auf der Basis des Notepad-Popups wäre denkbar. Wenn eine Seite yig Notepads mit großen Dateien öffnet wird ein Arbeiten auf dem System quasi undenkbar. ComputerBytesMan (für IE-Benutzer mit Notepad-Popup! Martin Leyrer |