Login
Login-Name Passwort


 
Newsletter
Werbung

Do, 31. Januar 2008, 14:03

Software::Desktop

Browser DOM Checker veröffentlicht

Der Browser DOM Checker von Michal Zalewski soll Sicherheitslücken in Webbrowsern aufspüren helfen.

Mögliche Fehler in Firefox 3 Beta 2

Hans-Joachim Baader

Mögliche Fehler in Firefox 3 Beta 2

Der bekannte Browser-Fehlerjäger Michal Zalewski, der bei Google arbeitet, hat zusammen mit seinem Kollegen Filipe Almeida das Tool »Browser DOM Checker« entwickelt und stellt es nun auf den Seiten von code.google.com zum Download bereit. Es dient nach seinen Angaben zum Validieren der Durchsetzung der Sicherheitsrichtlinien von Browsern - mit anderen Worten, fehlgeschlagene Tests deuten auf Mängel in besagter Durchsetzung und somit auf Sicherheitslücken in den Browsern hin.

Seinen Namen bezieht der Browser DOM Checker vom Document Object Model (DOM) der Browser, einer objektorientierten internen Repräsentation einer HTML-Seite, auf die mittels JavaScript oder Browser-Erweiterungen zugegriffen werden kann. Die Repräsentation ist hierarchisch aufgebaut, und das wird von dem Programm genutzt, um jedes einzelne Element aufzusuchen und zu prüfen.

Wie Zalewski bekannt gab, hat das Programm bereits zahlreiche Sicherheitslücken und ungewollte Preisgabe von Informationen in mehreren populären Browsern gefunden, die in Zusammenarbeit mit den jeweiligen Herstellern beseitigt wurden. Die Möglichkeit der ungewünschten Preisgabe von Informationen wird offenbar von den Sicherheits-Spezialisten ebenso wie von den Browser-Entwicklern als geringfügiges Risiko eingestuft, weshalb auch in den korrigierten Versionen der Browser noch zwischen 10 und 30 solcher Probleme ermittelt werden.

Zalewski hofft, dass der Browser DOM Checker zu einem Rahmenwerk für die weitere Sicherheitsuntersuchung der Browser wird, und dass die Hersteller das Werkzeug in ihre Regressionstext sowie die allgemeine Qualitätssicherung einbinden.

Der nach wie vor als experimentell bezeichnete Code kann von der Projektseite heruntergeladen werden. Er steht unter der Apache-Lizenz 2.0. Er besteht aus mehreren HTML-Seiten, die eingebetteten JavaScript-Code und eine Funktion zur Berichtserstellung enthalten. Die Seiten enthalten 16 Tests, von denen jeder aus mehreren Untertests besteht, insgesamt 1500 an der Zahl.

Die Autoren haben eine Version auf ihere Projektseite installiert, die man zum Online-Testen direkt verwenden kann. Lokal aufgerufen sollte das Tool dieselben Ergebnisse liefern.

Werbung
Kommentare (Insgesamt: 20 || Alle anzeigen || Kommentieren )
Re[2]: Firefox vs. Safari (devent, Do, 31. Januar 2008)
Re[2]: tool kaputt? (Michael, Do, 31. Januar 2008)
Re[2]: hmm ... ? (TheInfinity, Do, 31. Januar 2008)
Re[2]: Neuer Browser? (pp, Do, 31. Januar 2008)
Re: tool kaputt? (emuman, Do, 31. Januar 2008)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung