Die Mouseover-Attacke

abgelegt im Archiv IT-Security am 11.10.07

Das die Sicherheitsbedrohung über das Internet durch aktive inhalte und Animationen gestiegen ist war bereits hierein Thema.

Nun mag man sicher sagen, wer aktive Inhalte anschaut, erklärt sich nun mal mit deren Ausführung einverstanden. Dieser Argumentation kann man ganz gut folgen, so machen es auch die "Anbieter" fragwürdiger Tools und Suchseiten: Hast du es angeklickt, willst du es haben. Mittlerweile kommt es aber immer häufiger dazu, das statt der onclick()-Methode die onmouseover()-Methode genommen wird, um Aktionen auszulösen.
Damit reicht es aus, die Maus über einen bestimmten Bereich zu führen, um dann eine Aktion zu starten. Was auf den ersten Blick komfortabel erscheint, finde ich problematisch. Problematisch ist daran, dass der Anwender nicht einmal merken muss was passiert.

So kann man sich zum Beispiel einen mouseover-Bereich um das Schließen-Symbol bei den unsäglichen Werbefenstern vorstellen. Wir werden um diese Segnung des modernen Internet und die damit verbundenen unerwünschten Effekte wohl nicht herumkommen, zu vielfältig sind die Möglichkeiten. So gibt es mouseover-Effekte in Java-Scripten oder auch ohne Java in Verbindung mit CSS, um nur zwei Beispiele zu nennen. Das "Abschalten" derartiger Inhalte verbietet sich ebenfalls, da vielfach die Navigation mit eben diesen Elementen aufgebaut ist.

Eike Elser 10-10-2007