Risiken und Gefahren

Was ist Cross-Site-Scripting (XSS)? Cross-Site-Scirpting (XSS) ist der Versuch von Hackern, eine Webseite mit fremdem Code zu verseuchen bzw. an Daten zu gelangen, für die sie keine Berechtigungen besitzen. XSS wird genutzt, um auf einem Client-Computer (Internetnutzer) persönliche Daten, insbesondere Cookies, auszulesen, um somit Zugriffsrechte für weitere Internet-Seiten zu bekommen. XSS wird von Hackern initialisiert durch das Speichern von Scripten in der Datenbank des Betreibers.  Technische Risiken   Cross-Site-Scripting/ SQL-Injection   Datenschutz   Datensicherheit   Verlust von Daten

Die Eingabe erfolgt durch Textfelder auf einer Homepage, die den Benutzer auffordern, Textbeiträge zu schreiben. Wenn durch diese Textfelder Scripte in der Datenbank gespeichert werden, kann es passieren, dass der Browser dieses Script ausführt, wenn der Inhalt des Textfeldes angezeigt werden soll. Der Inhalt des Scriptes kann sehr vielfältig sein. Angefangen vom einfachen Darstellen einer Werbung bis hin zum Auslesen und Versenden von Cookie-Inhalten des Benutzers. XSS geht in der extremsten Variante einher mit SQL-Injektion. SQL-Injektion ist das Einschleusen von Datenbankanfrage über die Internetadresse (URL) einer Webseite. Durch SQL-Injektion können komplette Datenbankabfragen ausgegeben werden. Der Hacker erlangt dadurch viele Informationen aus der Datenbank, die nicht für ihn bestimmt sind. Eine genaue Erläuterung des Vorgehens finden Sie bei Wikipedia Unsere Schutzmaßnahmen: Alle Eingaben in die Datenbank, die über Textfelder gemacht werden, werden auf Script-Inhalte geprüft und gefiltert. Dadurch schließen wir das Risiko aus, dass dem Teilnehmer einer Umfrage ein Script untergeschoben wird, dass er weder wollte, noch gegen das er sich wehren konnte. Die Textfelder an sich können und wollen wir nicht unterbinden, da jeder Benutzer von NetAsk.de seine Umfrage frei konfigurieren kann. Dazu ist es notwendig, eigene Texte und Formatvorlagen in der Datenbank zu speichern. Um SQL-Injektion auszuschließen, werden alle Datenbankanfragen auf ihren Inhalt geprüft. Das genaue Konzept der Filterung möchten wir an dieser Stelle nicht beschreiben.