- Registriert
- 17.12.07
- Beiträge
- 1.902
Wer den Apple-Browser Safari einsetzt, holt sich möglicherweise unbeabsichtigt Schadsoftware auf den Rechner, weil beim Starten eines Downloads keine Nachfrage erfolgt. Vor diesem Szenario warnt derzeit der Sicherheitsexperte Nitesh Dhanjani.
Seiner Meinung nach stellt das Fehlen einer Download-Bestätigung ein Sicherheitsrisiko dar. Während Firefox und der Internet Explorer stets eine Bestätigung des Nutzers verlangen, bevor sie Dateien auf dem PC speichern, lädt Safari die Dateien einfach auf den als Standard-Speicherort festgelegten Desktop oder den Download-Ordner des Mac.
In seinem Weblog beschreibt Dhanjani im Eintrag Safari Streubombe, wie eine speziell präparierte Website problemlos Downloads auslösen kann, die auf dem Desktop von Windows landen. Bei Apple will man an diesem Verhalten zunächst nichts ändern. Es handelt sich nach Einschätzung des Unternehmens nicht um ein Sicherheitsrisiko.
Stattdessen habe man den Safari-Entwicklern den Verbesserungsvorschlag unterbreitet, eine Abfrage vor Downloads einzubauen, hieß es. Nach Angaben von Dhanjani geht vor allem deshalb eine Gefahr davon aus, weil Safari den Anwender auch nicht warnt, wenn eine lokale Quelle versucht Client-seitiges Scripting auszulösen.
Apple will seinen Angaben zufolge nun über eine Art "sicheren Modus" für lokal gespeicherte HTML-Dateien nachdenken. Obiger Screenshot zeigt die Auswirkungen des Problems anhand eines Testbeispiels.
Seiner Meinung nach stellt das Fehlen einer Download-Bestätigung ein Sicherheitsrisiko dar. Während Firefox und der Internet Explorer stets eine Bestätigung des Nutzers verlangen, bevor sie Dateien auf dem PC speichern, lädt Safari die Dateien einfach auf den als Standard-Speicherort festgelegten Desktop oder den Download-Ordner des Mac.
In seinem Weblog beschreibt Dhanjani im Eintrag Safari Streubombe, wie eine speziell präparierte Website problemlos Downloads auslösen kann, die auf dem Desktop von Windows landen. Bei Apple will man an diesem Verhalten zunächst nichts ändern. Es handelt sich nach Einschätzung des Unternehmens nicht um ein Sicherheitsrisiko.
Stattdessen habe man den Safari-Entwicklern den Verbesserungsvorschlag unterbreitet, eine Abfrage vor Downloads einzubauen, hieß es. Nach Angaben von Dhanjani geht vor allem deshalb eine Gefahr davon aus, weil Safari den Anwender auch nicht warnt, wenn eine lokale Quelle versucht Client-seitiges Scripting auszulösen.
Apple will seinen Angaben zufolge nun über eine Art "sicheren Modus" für lokal gespeicherte HTML-Dateien nachdenken. Obiger Screenshot zeigt die Auswirkungen des Problems anhand eines Testbeispiels.