SonicWALLs Produkte vor Angriffen bestens geschützt: Wildcard-Policy für URL-Adressen sichert Clientless SSL VPN
Geschrieben am 08-12-2009 |
München (ots) - Das Computer Emergency Readyness Team (US-CERT) meldete, dass einige Produkte für Clientless SSL VPN einen Sicherheitsmechanismus von Webbrowsern aushebeln. Der Sicherheitsmechanismus "Same Origin Policy" dient dazu, dass Objekte einer Website oder Web-basierenden Anwendung nicht von einer anderen Quelle ausgelesen werden können. JavaScript oder ActionSkript dürfen nur dann auf Objekte zugreifen, falls sie aus derselben Quelle stammen. Wenn für eine VPN-Verbindung vor den Domain-Namen der Name des VPN-Servers gesetzt ist, greift die Same Origin Policy nicht mehr, da alle Objekte nun scheinbar aus einer Quelle stammen. Leitet ein Angreifer den VPN-Nutzer auf eine manipulierte Site, kann er sensible Daten abgreifen oder die Tunnel-Verbindung für sich nutzen.
Falls Unternehmen eine Richtlinie so festgesetzt haben, dass alle URL-Adressen für *.com zugelassen sind, sind potenziell alle Anwendungen gefährdet, die über den Domain-Namen angesprochen werden. Ein Beispiel: Die Domain lautet https://workplace.mydomain.com und *.com ist als erlaubte Ressource definiert. Meldet sich ein Benutzer für seinen Outlook Web Access unter https://workplace.mydomain.com/go/owa001.mydomain.com an, liegen alle Cookies der Domain workplace.mydomain.com auch für die OWA-Anwendung offen. Falls der Anwender dann auf eine Phishing-Adresse in seiner E-Mail (https://workplace.mydomain.com/go/badguys.com/) klickt, werden alle Anfragen, die badguys.com an die Web-Anwendung richtet, als korrekt und gültig interpretiert.
Die Aventail-Produktlinie ist nur dann angreifbar, wenn IT-Administratoren die Richtlinien für die Domainnutzung sehr allgemein halten. Der einfachste Weg, Attacken zu verhindern, ist es, die Nutzung von Wildcards in URL-Ressourcen einzuschränken. Ein Beispiel: Lautet die Hauptdomain des Unternehmens mydomain.com und die Domains weiterer Standorte des Unternehmens sind http://owa001.sea.mydomain.com, http://owa001.sjc.mydomain.com, etc., dann sollte als Wildcard-URL beispielsweise nur http://owa001.*.mydomain.com erlaubt sein. SonicWALL empfiehlt, Wildcards in Top-Level-Domains wie http://*.com oder http://*.net nicht zuzulassen.
Originaltext: SonicWALL Digitale Pressemappe: http://www.presseportal.de/pm/59729 Pressemappe via RSS : http://www.presseportal.de/rss/pm_59729.rss2
Pressekontakt: griffity GmbH Evi Garabed Hanns-Schwindt-Str. 8 81829 München Tel.: (089) 43 66 92-0 E-Mail: evi.garabed@griffity.de Internet: www.griffity.de
Kontaktinformationen:
Leider liegen uns zu diesem Artikel keine separaten Kontaktinformationen gespeichert vor.
Am Ende der Pressemitteilung finden Sie meist die Kontaktdaten des Verfassers.
Neu! Bewerten Sie unsere Artikel in der rechten Navigationsleiste und finden
Sie außerdem den meist aufgerufenen Artikel in dieser Rubrik.
Sie suche nach weiteren Pressenachrichten?
Mehr zu diesem Thema finden Sie auf folgender Übersichtsseite. Desweiteren finden Sie dort auch Nachrichten aus anderen Genres.
http://www.bankkaufmann.com/topics.html
Weitere Informationen erhalten Sie per E-Mail unter der Adresse: info@bankkaufmann.com.
@-symbol Internet Media UG (haftungsbeschränkt)
Schulstr. 18
D-91245 Simmelsdorf
E-Mail: media(at)at-symbol.de
241254
weitere Artikel:
- Erster Schritt der Umstrukturierungsphase: EVA Finance und atlas international trennen sich / Weltvertrieb bleibt weiter Kooperationspartner - Sondierung des Medienmarktes nach Zielen für M&A-Aktivitä München (ots) - Die EVA Finance GmbH und der Traditions-Weltvertrieb atlas international Film GmbH werden fortan separat am Markt agieren. Philipp und Stefan Menz, Söhne des Gründers Dieter Menz, haben die Anteile der EVA Finance an der atlas international zurückerworben. Über die Höhe des Preises wurde Stillschweigen vereinbart. Der Verkauf der Unternehmensbeteiligung ist die erste Maßnahme, die im Zuge der vollständigen Übernahme der EVA Finance durch das Londoner Beteiligungs- und Corporate-Finance-Haus CB Equity Partners mit seinem mehr...
- Hochspannungsnetz für erneuerbare Energien wird ausgebaut Dauerthal (ots) - Das Energieunternehmen ENERTRAG baut sein Hochspannungsnetz für erneuerbare Energien auf eine Kapazität von 410 Megawatt aus. Insgesamt 375.000 Haushalte können bei voller Nutzung der Kapazität ihren Jahresstromverbrauch durch die Stromerträge der angeschlossenen Wind- und Biogasanlagen decken. Das weltweit einmalige Einspeisenetz ermöglicht durch die eigens entwickelte Software "PowerSystem" eine besonders präzise Überwachung und Steuerung der erneuerbaren Energieerzeugung in der Uckermark. Es schafft eine der Voraussetzungen mehr...
- Chemische Industrie hofft auf bessere Geschäfte / Massiver Einbruch 2009 / Nachfrage zieht wieder an / Kapazitätsauslastung unbefriedigend / Prognose für 2010: Produktion plus 5 %, Umsatz plus 6 % Frankfurt/Main (ots) - Die chemische Industrie in Deutschland hat eines der schwierigsten Jahre in ihrer Geschichte hinter sich gebracht. Der Einbruch der Chemieproduktion in 2009 von 10 Prozent gegenüber dem Vorjahr, der alle Geschäftsfelder erfasste, lässt sich nur mit dem Rückgang in der ersten Ölkrise vor 35 Jahren vergleichen. In der Branche überwiegt jetzt jedoch wieder Zuversicht, die Unternehmen hoffen auf bessere Geschäfte. Der Verband der Chemischen Industrie (VCI) geht davon aus, dass die Produktion im nächsten Jahr um 5, der mehr...
- BDI-PM118/2009 BDI-Präsident Keitel zum IT-Gipfel: "Erfolg von IKT entscheidet über Zukunftsfähigkeit" Berlin (ots) - Durch Breitbandausbau 400 000 neue Jobs bis 2014 -Bis 2020 weltweit 15 Prozent CO2-Einsparung 118/2009 8. Dezember 2009 "Allein durch Breitbandausbau können bis Ende 2014 rund 400 000 neue Arbeitsplätze in Deutschland entstehen. Deutschland gehört an die Spitze der Leitmärkte des 21. Jahrhunderts. Die erfolgreiche Einbindung von Informations- und Kommunikationstechnologien (IKT) in Industrie und Gesellschaft entscheidet über unsere Zukunftsfähigkeit." Das sagte BDI-Präsident Hans-Peter Keitel anlässlich der Eröffnung mehr...
- Chemie: Noch keine Entwarnung Ludwigshafen (ots) - Rund acht von zehn Unternehmen der chemischen Industrie in Rheinland-Pfalz verzeichneten 2009 schmerzhafte Umsatzeinbußen. Jedes zweite Unternehmen rechnet mit einem gleichbleibend niedrigen Umsatz im kommenden Jahr. Dies ergab eine Schnellumfrage des Arbeitgeberverbandes Chemie Anfang Dezember. "Aufgrund des Krisenjahres 2009 müssen fast alle Unternehmen finanziell die Luft anhalten. Auch 2010 werden viele unserer Mitgliedsunternehmen noch auf Sparflamme produzieren. Es gibt Hoffnung, aber noch keine Entwarnung." mehr...
|
|
|
Mehr zu dem Thema Aktuelle Wirtschaftsnews
Der meistgelesene Artikel zu dem Thema:
DBV löst Berechtigungsscheine von knapp 344 Mio. EUR ein
durchschnittliche Punktzahl: 0 Stimmen: 0
|