Die
Nun ist aber herausgekommen, dass das Addon selbst eine Sicherheits-Gefahr darstellt: Wie Carsten '
Genauer gesagt tritt diese Sicherheitslücke seit der am 19. April veröffentlichten Version 1.3 der Erweiterung auf: ShowIP sendet alle Seiten (bzw. den Verlauf), die ein Nutzer besucht hat, unverschlüsselt an den Drittserver ip2info.org. Dabei werden nicht nur "normale" Seitenaufrufe erfasst, sondern auch jene, die man via HTTPS sowie den "Privaten Modus" besucht hat.
Der Nutzer bekommt im Normalfall nichts davon mit, dieses unerwünschte Schnüffeln lässt sich nur mit Hilfe von Tools wie Wireshark erkennen. Das haben die Sophos-Experten auch getan, nachdem sie von einem Leser auf diesen Umstand hingewiesen worden sind.
Die erwähnte URL ip2info.org gehört einer deutschen Seite, genauer gesagt einem Berliner Marketing-Unternehmen namens '
Allerdings hat Firefox-Anbieter Mozilla mittlerweile das Addon auf Version 1.0 zurückgesetzt, diese sollte die IP-Erkennungsfunktion bieten, ohne die gesammelten Daten zu übermitteln. Mozilla gibt außerdem an, dass man mit dem ShowIP-Entwickler zusammenarbeite, um das Problem zu beseitigen.
Quelle: WinFuture
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
-Erweiterung ShowIP soll dem Internet-Nutzer eigentlich die IP-Adresse der gerade besuchten Seite im Browser zeigen und so für mehr Sicherheit sorgen, da sich auf diese Weise der Server-Standort und somit die Authentizität einer Seite feststellen lässt. Nun ist aber herausgekommen, dass das Addon selbst eine Sicherheits-Gefahr darstellt: Wie Carsten '
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
' Knobloch unter Berufung auf das Sophos-Blog '
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
' berichtet, hat die beliebte Firefox-Erweiterung ShowIP ein erhebliches Sicherheitsproblem: Und zwar übermittelt das Addon vertrauliche Informationen ungefragt an einen externen Server. Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Der Nutzer bekommt im Normalfall nichts davon mit, dieses unerwünschte Schnüffeln lässt sich nur mit Hilfe von Tools wie Wireshark erkennen. Das haben die Sophos-Experten auch getan, nachdem sie von einem Leser auf diesen Umstand hingewiesen worden sind.
Die erwähnte URL ip2info.org gehört einer deutschen Seite, genauer gesagt einem Berliner Marketing-Unternehmen namens '
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
'. Rob Sanders, der Entdecker dieser Sicherheitslücke, sagte, dass das Problem bereits am 22. April auf der Google-Code-Projektseite von ihm veröffentlicht worden ist, eine Reaktion bekam er aber dort nicht. Allerdings hat Firefox-Anbieter Mozilla mittlerweile das Addon auf Version 1.0 zurückgesetzt, diese sollte die IP-Erkennungsfunktion bieten, ohne die gesammelten Daten zu übermitteln. Mozilla gibt außerdem an, dass man mit dem ShowIP-Entwickler zusammenarbeite, um das Problem zu beseitigen.
Quelle: WinFuture
