"Phishmarkt" oder "Die Rückkehr des Prangers"

Der "Phishmarkt" bietet eine erschreckend umfangreiche Liste von Websites, bei denen Cross Site Scripting (XSS) möglich ist. Entsprechende Demos zeigen, wie mit einem per XSS eingebundenen IFRAME Nutzern ein gefälschter Login-Dialog angezeigt werden kann ... die URL stimmt, das Zertifikat stimmt, alle die Dinge, die einem Nutzer die Unterscheidung zwischen realen und gefälschten Seiten ermöglichen sollen.

Was mich besonders erschreckt ist die lange Liste von Banken, die betroffen sind. Gerade dort sollten die Verantwortlichen doch wissen, was mit solchen Lücken angerichtet werden kann. Erste reale Angriffe unter Ausnutzung von XSS hat es ja bereits gegeben.

Das Anprangern klappt aber teilweise ganz gut: gerade die Banken sind (im Allgemeinen) recht schnell mit dem Beseitigen der XSS-Lücken sind. Mit einigen unrühmlichen Ausnahmen: einige Lücken sind seit einem Jahr gelistet ... und funktonieren immer noch.