Peter's Insider Blog

Viele Webmaster von Schweizer Banken sollten sich selbst an der Nase nehmen, tragen sie doch nicht gerade zum Sicherheitsgefühl der Kunden bei. Diverse XSS(Cross Site Scripting)-Lücken wurden gefunden, doch nicht nur bei Banken, auch grosse Zeitungen wurden nicht von den Sicherheitstests der letzten Tage verschont. Erstaunlich ist, dass viele private Seiten besser vor XSS geschützt sind als bei Banken, wo doch Sicherheit im Normalfall gross geschrieben wird. Die Sicherheitslücken können Phisher dienen und lassen den User in einem Gefühl der Sicherheit zurück. Mein erstes öffentliches Security Advisory zum Thema XSS habe ich übrigens am ersten April 2003 herausgegeben, und es war noch nicht einmal ein Aprilscherz, denn die Gefahren des XSS sind allgemein bekannt, naja das habe ich zumindest gedacht...

Nachfolgend werden alle bis dato bekannten und in den letzten Tagen gefundenen Sicherheitslücken in Banken und Zeitungen gelistet, alle Betroffenen wurden im Vorfeld über die Lücken informiert. Viele der Lücken sind aber immer noch vorhanden.

Benbit's Liste:

• Bank Vontobel
• Thurgauer Kantonalbank
• Raiffeisen
• Tagesanzeiger
• Blick
• n-tv

Peter's Insider Blog Liste:

• Anker Bank (XSS)
• Lombard Odier Darier Hentsch (Gateway)
• Jyske Bank (critical)
• Bank Thalwil (XSS)

Anmerkungen zum Bug der Jyske Bank: Die Jyske Bank ist Dänemarks zweitgrösste Bank, es ist also ein Problem Kopenhagens. Die dort implementierte (muss man fast schon sagen) Sicherheitslücke ist besonders grausam, da sie auch über eine HTTPS Verbindung funktioniert, sofern die Seite des Phishers auch verschlüsselt übertragen wird. So wird dem Benutzer gesagt er sei auf der Seite der Bank und als Sicherheitszertifikat(im Firefox 2.0) wird das der Jyske Bank angezeigt:

Nach den Online-Archiven der Zeitungen sind somit die Banken ins Visier der Blogger geraten.

PS: Morgen am 22.11.2006 um 22:11, wird in diesem Blog der Start eines neuen Web 2.0 Sicherheitstool bekannt gegeben.