torsdag 8 januari 2009
CS logotype
Sök i arkivet
Tipsa oss!
CS som din startsida

Fokussajter


Läs mer om

Tjänster

Tidningen

För annonsörer

Kontakta oss

Computer Sweden är Sveriges ledande it- tidning som publicerar nyheter varje dag på webben samt tre gånger i veckan på papper.
............................................

Ring till 08-453 60 00.

Skicka gärna e-post till: cs@idg.se

Postadressen är:
Computer Sweden
106 78 Stockholm
............................................

Användarnas hemligheter stjäls i bakgrunden | 2008-11-12 10:49 - Computer Sweden:

Cross-site scripting fortfarande ett stort problem

Av |

Säkerhet Trots att säkerhetshålet cross-site scripting är gammalt och vida känt är det fortfarande den vanligaste sårbarheten på webbplatser.

I år har Yahoo haft en lucka som öppnade användarnas e-postkonton, Paypal hade ett hål som lät en hackare lägga in skadlig kod på sidorna och Barack Obama fick se sina besökare omdirigerade till Hillary Clintons webbplats.

Alla dessa sårbarheter berodde på det som kallas cross-site scripting, förkortat xss. Problemet har funnits sedan Javascript infördes i Netscape 1995.

Enligt en undersökning utförd av Web Application Security Consortium på över 32 000 sajter är xss-sårbarheter den absolut vanligaste säkerhetsluckan i dag.

Martin Holst Swende, webbexpert och konsult på MSC, tror att orsaken till att den välkända säkerhetsluckan fortfarande finns kvar är dålig kunskapsspridning.

– Det är svårt att utrota den eftersom många språk och plattformar – som till exempel php och jsp – som används för webbtjänster inte har inbyggda skydd mot dessa problem, säger Martin Holst Swende.

Det tillåter programmeraren att blanda ihop strukturinformation (html) med dynamiskt innehåll, vilket lätt leder till xss-sårbarheter.

Problemet blir särskilt allvarligt när man har att göra med stora domäner som Google eller Yahoo. En lucka i exempelvis Google Calendar kan öppna även Gmail då de befinner sig på samma domän.

Dessutom kommer hackarna på fler och fler sätt att dra nytta av luckorna. En ny trend som Martin Holst Swende nämner är tangentbordsloggare skrivna i Javascript. De kan då logga allt som skrivs på tangentbordet så länge man befinner sig på samma domän.

– När jag arbetade på Yahoo höll vi kontinuerligt på med interna scanningar. Hittades en xss-bugg fick den högsta prioritet, men de är svåra att bli av med helt på ett bolag med så stor webbnärvaro som Yahoo.

Arbetar man med en mindre sajt eller bygger en ny webbplats från grunden är det dock möjligt att undvika sådana här sårbarheter genom att höja abstraktionsnivån. Målet är att programmeraren aldrig skriver html. Annars måste man noggrant kontrollera informationen som kommer in och se till att html-koda allt som skickas ut.

Taggar säkerhetshål webben xss netscape

Fakta

Cross site scripting

Tekniken bygger på att en hackare lägger in kod på en annars legitim webbplats. För användaren ser webbsidan oftast helt normal ut, men i bakgrunden kan skript som exempelvis stjäl inloggningsuppgifter köras.

Det finns flera sätt att gå tillväga, bland annat genom att posta skadlig kod i ett forum eller lura användaren till att klicka på en särskilt utformad länk.

Skriv ut Tipsa Kommentera

Krönikan

Outsourcing byter skepnad

"Globala leverantörer som IBM, HP, EDS och CSC får ökad konkurrens", skriver Håkan Ogelid.

CS dreglar över...

Jättedisk rymmer massor

Toshiba drämmer till konkurrenterna.

Mest läst just nu

  1. 2009-01-08 09:41 - Computer Sweden:
     Sonydator i fickformat
  2. 2008-12-09 17:15 - Computer Sweden:
     Serversafari 30 meter under jorden
  3. 2009-01-07 16:38 - Computer Sweden:
     Enklare bärbara allt billigare
  4. 2009-01-08 05:57 - Computer Sweden:
     Windows 7 beta släpps på fredag
  5. 2009-01-08 10:48 - Computer Sweden:
     Cisco ger sig in i nöjesbranschen

Under snedstrecket

Facebook större än Japan

150 miljoner använder Facebook.

Nyheter


Den här artikeln har 12 kommentarer:

Användare == Idioter - ( Vimp ) 2008-11-12 11:59

Varför höja abstraktionsnivån? - ( J Jonasson ) 2008-11-12 12:05

Varför höja abstraktionsnivån? - ( Vimp ) 2008-11-12 12:12

PHP och JSP har inte skydd... - ( LoomChild ) 2008-11-12 13:17

Varför höja abstraktionsnivån? - ( J Jonasson ) 2008-11-12 13:38

PHP och JSP har inte skydd... - ( KingEdward ) 2008-11-12 13:45

Varför höja abstraktionsnivån? - ( MackMack ) 2008-11-12 14:09

Användare == Idioter - ( Lappkast ) 2008-11-12 14:14

PHP och JSP har inte skydd... - ( Ichinin ) 2008-11-12 14:34

Användare == Idioter - ( henriko ) 2008-11-12 15:10

Se alla 12 kommentarer

OBS! Denna artikel är mer än tio dygn gammal och är därför stängd för vidare debatt.

Hett på CS just nu

2009-01-08 13:02 - Computer Sweden:

Börsskandalen ger stora vågor

Affärer & företag Indiska Satyam skakas av en börsskandal i Enronklass. "Företaget har försökt spä på vinsten", erkänner vd:n.

LÄS MER
Oroligt Indien skrämmer it-företag
IBS utveckling flyttar till Indien
Hetaste länderna för offshoring 2009

2009-01-08 09:41 - Computer Sweden:

Pyttedator från Sony
får plats i rockfickan

CES Sony har valt ett lite udda format på företagets första dator som använder Atomprocessor.

2009-01-08 10:25 - Computer Sweden:

Oprövad 3g-teknik i Kina

Nät & kommunikation Kina har nu slutligen gett landets mobiloperatörer 3g-licencer.

2009-01-08 07:05 - Computer Sweden:

Lenovo säger upp 2 500

Affärer & företag Den kinesiska datortillverkaren Lenovo planerar att avskeda över 10 procent av företagets anställda.

(1 kommentar)

2009-01-07 16:38 - Computer Sweden:

Enklare bärbara allt billigare

CES Samsung, Asus och Dell kommer alla med minibärbara datorer som har skärmar på tolv tum. De kostar bara en fjärdedel så mycket som traditionella ultraportabla vilket ställer till huvudbry för Intel.

(18 kommentarer)

2009-01-07 16:35 - Computer Sweden:

Motvind för Intel

Affärer & företag Efterfrågan på processorer var låg under fjärde kvartalet. Det får Intel att varna för lägre vinst.

2009-01-07 15:37 - Computer Sweden:

Dieseln räddade systemen

Haverikommissionen Dieselaggregaten gick varma på Stureplan i Stockholm när elektriciteten försvann under onsdagsförmiddagen.

(4 kommentarer)

2009-01-07 16:53 - Computer Sweden:

Adobes Flash ska in i tv:n

CES Med Intels hjälp fungerar nu Flash på de processorer som används av många tv-mottagare och skärmar.

(6 kommentarer)

2009-01-07 15:48 - Computer Sweden:

Google är trea på skammens lista

Säkerhet Google flyttar upp från fjärde till tredje plats på listan över företag vars tjänster som används för att skicka spam, så kallade spam enablers. Det visar en undersökning från Spamhaus.

2009-01-07 13:53 - Computer Sweden:

Ingen ljusning för
Försäkringskassan

Samhälle Försäkringskassans problem med försenade utbetalningar och skenande it-kostnader riskerar att fortsätta också i år. Det skriver Statskontoret i en rapport till regeringen.

(8 kommentarer)

2009-01-07 15:16 - Computer Sweden:

Macbook pro får
bättre batteritid

Hårdvara Apples största nyhet under veckans Macworld Expo är en ny version av 17-tums Macbook Pro som ska ha ovanligt bra batteritid.

(1 kommentar)

2009-01-07 11:05 - Computer Sweden:

Skriptspråken blev
allvar under 2008

Utveckling Skriptspråken är inte längre ett alternativ för dem som inte är "riktiga programmerare".


Affärsfokus

2008-12-17 06:51 - Computer Sweden:

Strid på webben
om lokala nyheter

Affärsfokus Mediehuset Stampen ska utnyttja sin lokala närvaro för att ge Aftonbladet en match. Koncernchefen Tomas Brunegård vill att en fjärdedel av intäkterna kommer från webben redan 2012.

Mer affärsfokus

Folk

2008-12-15 16:42 - Computer Sweden:

Han gör data synliga

Folk Redan vid sex års ålder visste Anders Ynnerman att han ville bli fysiker. Och det blev han. I dag är han en av världens ledande forskare inom visualisering - konsten att göra data synliga.

(1 kommentar)

Fler folk-artiklar

Dagens krönikor

2008-12-22 06:19 - Computer Sweden:

Gör en tavla med ditt dna

Utblick Memoarer, självporträtt på duk och lätt maskerade självbiografiska romaner kan uttrycka vem du är, men de kommer inte i närheten av vad företaget DNA 11 kan skapa åt dig.

2008-12-22 06:15 - Computer Sweden:

Outsourcing byter skepnad

Sista ordet Nästa år går det inte längre att prata om outsourcing på sättet som varit gängse sedan många år tillbaka. Molntjänsterna, cloud computing, ställer allt på huvudet och ritar om outsourcingkartan totalt.

Fler krönikor

Opinion

2008-12-22 06:52 - Computer Sweden:

It måste vara interaktiv

Debatt Trenden är tydlig. Kostnaden för att underhålla existerande it-system ökar konstant och pengarna läggs på system som sköter transaktioner. Det handlar till exempel om att bokföra fakturor eller att hantera beställningar.

2008-12-19 03:29 - Computer Sweden:

It-branschen, hjälp företag

Debatt Företag utmanas av att rätta sig efter krav, normer och regler. Är det möjligt för dem att följa alla regler för personuppgiftslagar, branschkrav, marknadsföringslagstiftning och iso-standarder?

2008-12-19 03:26 - Computer Sweden:

Vi förväntar oss sänkta priser

Ledaren I augusti kom förre PTS-chefen Hans-Gunnar Billingers utredning om vad som ska hända när operatörernas licenser för gsm-frekvenserna löper ut 2010. Hans förslag var att licenserna ska auktioneras ut till högstbjudande.

(1 kommentar)

Fler debattartiklar

Mest läst just nu

  1. 2009-01-08 09:41 - Computer Sweden:
     Sonydator i fickformat
  2. 2008-12-09 17:15 - Computer Sweden:
     Serversafari 30 meter under jorden
  3. 2009-01-07 16:38 - Computer Sweden:
     Enklare bärbara allt billigare
  4. 2009-01-08 05:57 - Computer Sweden:
     Windows 7 beta släpps på fredag
  5. 2009-01-08 10:48 - Computer Sweden:
     Cisco ger sig in i nöjesbranschen

Åsikter

Outsourcing byter skepnad

"Globala leverantörer som IBM, HP, EDS och CSC får ökad konkurrens", skriver Håkan Ogelid.

K Sören Pecén

Alla krönikor från CS mångordiga krönikör samlade på en sida.

Vi förväntar oss sänkta priser

”Ledaren: PTS accepterar förslaget. Alla blir nöjda utom Anders Borg och medborgarna”

Glöm inte

Nominera till Guldmusen

Vem tycker du är värd att vinna Guldmusen, Sveriges tyngsta it-pris? Nominera dina kandidater nu, 15 januari är det för sent. Läs mer och nominera

Efter jobbet

Jättedisk rymmer massor

Toshiba drämmer till konkurrenterna.

Facebook större än Japan

150 miljoner använder Facebook.

Kunder, partner och leverantörer firade Caperios nya kontor på Blue Moon Bar i Uppsala.
Kunder, partner och leverantörer firade Caperios nya kontor på Blue Moon Bar i Uppsala. Se bildspel

Experterna svarar

Kan jag ångra en provanställning?

Kan arbetsgivaren kräva skadestånd? CS expert har svaret.

Dagens ord

"Haptisk"

När en läkare övar operationer med datorsimulering och känner hur det tar emot när hon skär - trots att allt händer i en dator - då har hon ett haptiskt användargränssnitt.

Expertbloggarna


Jan Lindvall bloggar om beslutsstöd.

Per Sedihn bloggar om lagring.

Linus Malmberg bloggar om outsourcing.

Anders Liling bloggar om affärsmässig öppen källkod.

Community


På teknikbloggen skriver redaktionen på ett mer personligt sätt.
Inlägg på CS Karriär
09/01/04
David Borjesson
David BorjessonJobb erbjudande i USA
forum: Jobba utomlands - USA & Canada
08/12/29
what.se what.se
what.se what.seAtt arbeta i Frankrike
forum: Karriär
08/12/17
Henrik Sorin Hildebrand
Henrik Sorin Hildebrand Vilka jobbsajter är störst i Thailand...
forum: Jobba utomlands - Thailand & Singapore
Bloggat på It i vården
08/12/24
Odehammar
Det fungerar trots att jag är ledig
Skrivet av Odehammar i It i vården
08/12/17
Odehammar
Makthavarnas frånvaro
Skrivet av Odehammar i It i vården
08/12/16
Odehammar
Vården – inte bara vård
Skrivet av Odehammar i It i vården

Fyll på vår wiki

Tyck till om CS säkerhetsexperter

I vår nya wiki kan du själv bidra med information och kommentarer till vår heta säkerhetslista.

RSS och nyhetsbrev

Håll dig uppdaterad om det senaste inom it med rss-flöden från CS.

Vill du ha CS nyheter direkt i din inbox? Välj mellan vårt dagliga nyhetsbrev och våra veckobrev med nyheter om teknik, ekonomi eller systemutveckling.

Fler nyheter

CS kompendium

CS kompendium om datasäkerhet

Utan data dör företaget. Utmaningen inom datasäkerhet är att veta var all data egentligen finns och förstå vilka hot som man egentligen måste bry sig om.
I detta kompendium går vi igenom de bästa sätten att handskas med mobila datamiljöer, vilka hot som finns, hur du sköter kopiering på ett bra sätt och hur viktigt det är att säkra kvaliteten på data. Avslutningsvis förklarar vi hur den skyddande mjukvaran fungerar – och varför man inte bör lita blint på den.

Hämta pdf!

Partnerzon

Verksamhetskritiska system

Här är sidan för dig som är intresserad av IT-infrastruktur för de mest kritiska applikationerna såsom affärssystem,
transaktionssystem och databastillämpningar.
Här hittar du information från HP, intervjuer, white papers och mycket annat i ämnet.

Besök partnerzonen!

Hetaste white papers just nu

Fler whitepapers

Mest besökta platsannonserna

Fler platsannonser från CS Jobb

Prenumerera nu

Rivstartserbjudande på 2009!

Prova 3 månader för bara 99 kr.
Du får en praktisk multi-tool ficklampa
utan extra kostnad. Värde 295 kr.
Totalt sparar du 615 kr.

Utöver CS flera dagar i veckan får du
månadsmagasinet CS Hemma, rabatt
på seminarier m.m.

Beställ nu!

Utbildningsguide

Utbildningsguiden

Sök i Sveriges största databas av IT-utbildningar. Över 1500 kurser från ca 70 leverantörer.

Till Utbildningsguiden

Nytt från PDF-shopen

Nytt från PDF-shopen
IDG PDF-shop - köp pdf:er (tester, guider, tips) till ditt digitala it-bibliotek från Sveriges främsta datortidningar

Lönebarometern

Diagram

Har du rätt lön?
Genom Lönebarometern kan du enkelt få reda på hur mycket folk tjänar i IT-branschen.

Testa din lön!

CS läsarpanel

Hjälp oss! Få en prenumeration!

Vi vill förstå hur annonserna i tidningen och på sajten uppfattas av dig. Därför undrar vi om du vill gå med i vår internetbaserade läsarpanel? Som panelmedlem får du poäng för varje undersökning du deltar i. Dessa poäng kan du så småningom kvittera ut i form av en prenumeration på någon av IDG:s tidningar.

Mer information och anmälan

Senaste nytt från IT24.se