Browsen ohne Fracksausen

Teil 8: Sicher surfen im Web

Wer sich auf Hacker- und Cracker-Sites herumtreibt, weiß, worauf er sich einlässt. Doch auch auf vertrauenswürdigen Sites lauert Gefahr. Hacker können sie durch Cross Site Scripting (XSS) manipuliert haben. Dabei gibt es verschiedene Techniken, die jedoch eines gemeinsam haben: Der Anwender ruft eine harmlos scheinende Website auf und startet dabei ungewollt ein Skript. Dieses Skript leitet Ihre Daten an einen Angreifer weiter, oder benutzt Ihre Identität, um Schaden anzurichten.

Sicher surfen im Web

© Archiv

Dieses Symbol neben der Adressleiste des IE7 zeigt an, dass eine Adresse fremdsprachliche Zeichen enthält.

  • Betrügerischer Link:
    Eine Website bietet Ihnen einen Link auf eine nützliche Site an. Die nützliche Site wird zwar korrekt aufgerufen, gleichzeitig wird aber ein Skript gestartet, das ein gefälschtes Eingabeformular anzeigt. Sie denken, dass Sie bei Ihrem Lieblingsshop einkaufen, senden Ihre Daten aber in Wahrheit an den Hacker.
  • Eingeschmuggelter Link:
    Stellen Sie sich eine schlecht programmierte Kundendatenbank vor. Statt seines Namens gibt ein Hacker Scriptcode in die Eingabezeile ein. Der nächste, der sich den vom Hacker erzeugten Datensatz ansieht, führt diesen Code unwissentlich aus.
  • Cross Site Request Forgery (CSRF):
    Diese Fälschung einer Seitenanforderung funktioniert über eine manipulierte Website. Sie rufen diese Site auf und starten damit ein gefährliches Skript. CSRF ist möglich, wenn Sie sich zur selben Zeit gerade für eine Banküberweisung oder für die Administrierung Ihrer Website eingeloggt haben. Jetzt kann das gefährliche Skript an Ihre Stelle treten und Ihre Website löschen oder manipulierte Überweisungsdaten absenden. Das Gefährliche an Cross Site Scripting ist, dass es meist durch einen Programmierfehler des jeweiligen Website-Betreuers möglich wird. Der Anwender, der die Seite in seinem Browser aufruft, hat kaum eine Chance, den Betrug zu verhindern. Trotzdem gibt es ein paar nützliche Sicherheitsmaßnahmen.
  • Rufen Sie keine anderen Websites auf, während Sie bei Ihrer Bank, Ihrem Webserver oder einem anderen wichtigen Dienst eingeloggt sind.
  • Schalten Sie, wenn möglich, JavaScript aus, zumindest wenn Sie sich bei einem wichtigen Dienst einloggen wollen oder gerade eingeloggt sind.
  • Achten Sie darauf, dass Ihre Verbindung SSL-verschlüsselt ist. Das gibt Ihnen zumindest ein wenig Schutz. Die Verschlüsselung erkennen Sie beim Internet Explorer am Schloss in der Statusleiste. Firefox und Opera zeigen dieses Schloss neben der URL an. Die Verschlüsselung selbst verhindert zwar kein XSS. Bei einem Betrugsversuch sollte aber eine Fehlermeldung auftauchen. Der Grund: Der Angreifer kann das Zertifikat der rechtmäßigen Site nicht fälschen, das für die SSL-Verbindung notwendig ist. Der ohne Zertifikat eingeschleuste Code löst eine Fehlermeldung aus.

Mehr zum Thema

festplatte, hardware, pc, hdd
Gelöschte Dateien wiederherstellen

Wir zeigen Ihnen, wie Sie verloren geglaubte Daten retten können - etwa mit dem kostenlosen Tool Recuva.
Windows 10 Sicherheit: Symbolbild
Computer ohne Werbung

Wir zeigen, wie Sie Adware vermeiden, damit Sie sich im Anschluss an die Installation nicht mühsam entfernen müssen.
Sicherheit im Urlaub
Diebstahlschutz, offene WLANs und Co.

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Festplatte Verschlüsselung
Windows

Wir vergleichen den mittlerweile eingestellten Marktführer TrueCrypt mit dem Nachfolger Veracrypt und der Alternative Bitlocker.