Abo
  • IT-Karriere:

Browser: Microsoft lässt nur Facebook auf Flash-Whitelist in Edge

Für seinen Edge-Browser pflegt Microsoft eine Whitelist für Flash-Inhalte. Diese enthielt obskure Domains und war anfällig für Fehler. Nach einem Update verbleibt nur noch Facebook auf der Whitelist.

Artikel veröffentlicht am ,
Die Flash-Whitelist in Edge umfasst nur noch Facebook.
Die Flash-Whitelist in Edge umfasst nur noch Facebook. (Bild: Microsoft)

Eigentlich müssen Nutzer des Edge-Browsers von Microsoft das Ausführen von Flash-Inhalten auf Webseiten explizit erlauben, was durch ein sogenanntes Click-to-Play umgesetzt wird. Für einige ausgewählte Seiten hat Edge bisher jedoch eine Whitelist genutzt, die die Flash-Inhalte automatisch erlaubt. Darauf verleiben auch künftig Domains von Facebook.

Stellenmarkt
  1. BWI GmbH, bundesweit
  2. OEDIV KG, Bielefeld

Das geht aus einem Bugreport von Googles Sicherheitsforschern des Project Zero hervor. Demnach hat der Forscher Ivan Fratric zunächst die Binärform der Whitelist untersucht und in eine Textrepräsentation überführt. Auf der nun öffentlich einsehbaren Liste finden sich teils sehr überraschende und seltsame Domains.

Fratric schreibt dazu auf Twitter: "So viele Seiten, von den ich völlig verblüfft bin, warum sie darauf sind. Wie eine Website eines Friseurs in Spanien (http://www.dgestilistas.es)?! Ich frage mich, wie die Liste zusammengestellt worden ist.". Zusätzlich zu dem durchaus fragwürdigen Inhalt der Liste weist Frantic aber auch auf mögliche Unsicherheiten hin, die sich aus der Nutzung ergeben.

Angreifbare Whitelist

Eine XSS-Lücke auf einer der Domains ermöglicht etwa das völlige Umgehen der Click-to-Play-Regeln. Und Fratric hat auch bekannte XSS-Lücken tatsächlich auf einigen Domains der Whitelist auffinden können. Darüber hinaus erzwingt die Whitelist keine HTTPS-Benutzung, was es auch Man-in-the-Middle-Angriffen (MITM) ermöglichen könnte, die Click-to-Play-Regeln zu umgehen.

Dem Bugreport zufolge hat Microsoft das von Fratric monierte Verhalten der Whitelist in dem Februar-Update von Edge behoben. So wird nun zwingend die Verwendung von HTTPS für die Whitelist vorausgesetzt und auf darauf verblieben sind nur noch die Domains www.facebook.com und apps.facebook.com. Die großen Browser-Hersteller planen das Ende der Flash-Ära für das kommende Jahr 2020.



Anzeige
Hardware-Angebote
  1. 269,90€
  2. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)

ichbinsmalwieder 17. Mai 2019

Na immerhin hat facebook.com 1,9 Mrd. Nutzer (was übrigens ziemlich genau einem Viertel...

Herr Unterfahren 21. Feb 2019

Noch nicht endgültig. Endgültig für die Tonne wird Edge erst sein, wenn er nur noch ein...


Folgen Sie uns
       


iPhone 11 Pro Max - Test

Das neue iPhone 11 Pro Max ist das erste iPhone mit einer Dreifachkamera. Dass sich diese lohnt, zeigt unser Test.

iPhone 11 Pro Max - Test Video aufrufen
Jira, Trello, Asana, Zendesk: Welches Teamarbeitstool taugt wofür?
Jira, Trello, Asana, Zendesk
Welches Teamarbeitstool taugt wofür?

Die gute Organisation eines Teams ist das A und O in der Projektplanung. Tools wie Jira, Trello, Asana und Zendesk versuchen, das Werkzeug der Wahl zu sein. Wir machen den Vergleich und zeigen, wo ihre Stärken und Schwächen liegen und wie sie Firmen helfen, die DSGVO-Konformität zu wahren.
Von Sascha Lewandowski

  1. Anzeige Wie ALDI SÜD seine IT personell neu aufstellt
  2. Projektmanagement An der falschen Stelle automatisiert

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

Elektromobilität: Warum der Ladestrom so teuer geworden ist
Elektromobilität
Warum der Ladestrom so teuer geworden ist

Das Aufladen von Elektroautos an einer öffentlichen Ladesäule kann bisweilen teuer sein. Golem.de hat mit dem Ladenetzbetreiber Allego über die Tücken bei der Ladeinfrastruktur und den schwierigen Kunden We Share gesprochen.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität Hamburg lädt am besten, München besser als Berlin
  2. Volta Charging Werbung soll kostenloses Elektroauto-Laden ermöglichen
  3. Elektromobilität Allego stellt 350-kW-Lader in Hamburg auf

    •  /