Web 2.0: Kritische Lücken gefährden User-Daten

Die meisten verfügbaren AJAX-Frameworks sind nicht gegen JavaScript-Hijacking geschützt. Laut Fortify Software sind beispielsweise die Lösungen von Google, Microsoft und Yahoo! anfällig.

Die Security Research Group von Fortify Software, einem Anbieter von Lösungen zur Identifikation und Beseitigung von sicherheitskritischen Software-Schwachstellen, hat eine Sicherheitslücke dokumentiert, die viele AJAX-Anwendungen betrifft. Diese als JavaScript-Hijacking bezeichnete Schwachstelle erlaubt Angreifern den unautorisierten Zugriff auf vertrauliche Daten in JavaScript-Nachrichten durch die Ausnutzung von Zugängen ahnungsloser Anwender.

JavaScript-Hijacking ist ein weit verbreitetes Problem. Fortify hat unter anderem die zwölf meistgenutzten AJAX-Frameworks - darunter die von Google, Microsoft, Yahoo! sowie zahlreiche weitere der Open-Source-Community - analysiert und festgestellt, dass nur Direct Web Remoting (DWR) 2.0 Mechanismen implementiert hat, die JavaScript-Hijacking verhindern. Alle anderen Frameworks bieten keinen expliziten Schutz und weisen auch in ihrer Dokumentation nicht auf die Gefahren hin. Selbst Applikationen, die keines der betroffenen Frameworks nutzen, können angreifbar sein, wenn sie AJAX-Komponenten enthalten, die JavaScript als ein Datentransferformat für sensitive Daten nutzen.