Bei den Firefox-Entwicklern wird zur Zeit fieberhaft nach einer Lösung gesucht, um so genannte BEAST-Attacken abzuwehren. Das Kürzel steht für Browser Exploit Against SSL/TLS und soll die Dechiffrierung der omnipräsenten SSL-Verschlüsselung ermöglichen. Konkret vermag ein BEAST-Angriff offenbar via JavaScript in einer SSL-Session versteckte Informationen aufzudecken, die an einer vorhersehbaren Stelle im Datenstream wiederholt übermittelt werden. Dies ermöglicht es offensichtlich, die Same-Origin-Policy zu umgehen, ein Sicherheitsmechanismus, der dafür sorgt, dass Webdaten einer bestimmten Domäne nicht durch Code einer anderen gelesen oder modifiziert werden können.
Nachdem es Ende letzter Woche gelungen ist, innert Minuten eine verschlüsselte Paypal-Authentifizierung aufzudecken, wird im Mozilla-Lager jetzt eifrig diskutiert, wie Firefox-Anwender vor BEAST-Attacken geschützt werden könnten. Da es offensichtlich keine einfache Lösung gibt, bewegt sich die Diskussion jetzt mittlerweile in Richtung Java-Blockierung. In Mozillas
Online-Bug-Forum werden immer mehr Stimmen laut, die alle Versionen des Java-Plugins blockieren wollen.
Dass es wirklich soweit kommt, muss allerdings bezweifelt werden, zumal die Auswirkungen beachtlich wären. Unzählige, teils technologisch federführende Websites setzten bei ihren Feature-Sets auf Java, von den zahllosen Unternehmensanwendungen ganz zu schweigen.
(rd)