Es gibt Webmaster die
sperren Besucher aus.

Es gibt Webmaster die sperren die Besucher aus.25.08.2015 – ( KOD )

Wie man die Webseite, ohne JavaScript aktiviert zu haben, wieder sichtbar machen kann, zeigt ein weiter Beispiel aus der Serie -Jugend forscht-. Siehe unten unter „Den Teufel mit Belzebub ausgetrieben“.

Eine ziemlich stümperhafte Lösung

Ich habe bereits mehrfach etwas über Angriffe mittels X-Frame geschrieben. Wenn eine Webseite nicht gegen X-Frame abgesichert ist, kann es zu bösen Überraschungen für den Nutzer einer solchen Webseite kommen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf diese Sicherheitslücke hin. Das BSI hat auch einen Vorschlag mit JavaScript veröffentlicht wie man solche Angriffe abwehren kann. Dummerweise ist die vom BSI veröffentlichte Lösung völlig unbrauchbar und wird auch noch als: Best-Practice-Ansatz geadelt.
Ohne JavaScript werden Webseiten, die dieses Script einsetzen, NICHT mehr angezeigt.

Interessanterweise weist das BSI auch darauf hin JavaScript“ abzuschalten. Was denn jetzt? 🙁

Einem Anfänger könnte der Fehler passieren und dem Vorschlag vom BSI blind folgen. Wenn es darum geht, eine Webseite sicher zu machen, darf ich keine Anfänger damit beauftragen die jeden Code ohne nachzudenken einbauen.
Warum wundert mich bei Behörden nichts mehr?

Um das Problem zu beseitigen, gibt es mehrerer Möglichkeiten.
Die dümmste Lösung wäre die folgende. Diese Lösung empfiehlt auch das BSI. 🙁

X-Frame
X-Frame. (Code wurde nachträglich geändert. Siehe weiter unten)

Warum? Ganz einfach. Wenn der Nutzer JavaScrip abgeschaltet hat, sieht der Borwser den HTML-Code wie folgt:

X-Frame
X-Frame

JavaScript wird NICHT ausgeführt. Die Webseite wird NICHT angezeigt.
Also Webmaster. Macht bitte nicht so einen Blödsinn. Es gibt ganz elegante Lösungen um Angriffe mittels X-Frame zu verhindern. Eine Sache von max. fünf Minuten.
 
Nachtrag. Code wurde erweitert. Siehe auch Kommentare.
Den Teufel mit Belzebub ausgetrieben.

X-Frame
X-Frame

Damit ?

X-Frame
X-Frame

hat man zwar das Problem mit der Webseitenanzeige abgestellt aber gleichzeitig den Angriff mit X-Frame bei deaktiviertem JavaScript wieder zugelassen. Das MUSS man doch erkennen. 🙁

Zwei anonyme Kommentare kamen zeitnah nach der durchgeführten Änderung

Siehe auch
Aus gegebenem Anlass. JavaScript
 
 

6 Replies to “
Es gibt Webmaster die
sperren Besucher aus.”

  1. Rödermark und ihr Webmaster. Keine Anzeige ohne JavaScript. Hoffentlich arbeiten die bei anderen Aufgaben sorgfältiger. Hier es ganz offensichtlich. Wenig Kompetenz.

  2. Blamaga, Blamage und hochmal Blamage.
    Rödermark umd Internet bekommt man nicht unter einen Hut. Die Stadt bekommt auch einfachste Sachen niicht geregelt. Siehe Radweg Waldacker. Blamage, Blamage und hochmal Blamage.

  3. Bürger werden mit Duldung der Stadtverordnetenvorsteherin ausgelacht.
    Neuer Stand.
    Bürger lachen den Magistrat aus. Ha, ha, ha

  4. Die Seite funktiniert doch ohne Java-Script. Das was Sie betreiben ist schon in der Nähe der Rufschädigung.

    Admin
    Ich gebe Ihnen völlig recht. Nach einem Hinweis von mir am Sonntag an die Stadt und diesem Artikel hier, hat man nachgebessert. Das oben angezeigte Script wurde, kurz vor Ihrem Kommentar, erweitert. Dort steht jetzt:
    noscript style html{display : block ; } /style /noscript (Die spitze Klammer habe ich weggelassen.)
    Das bedeutet: Wenn KEIN JaveScript zugelassen ist, wird die Webseite angezeigt. Dazu wird ich aber noch etwas formulieren.

    Zur Rufschädigung.
    Welchen Ruf habe ich geschädigt. Ich habe nicht die Stadt erwähnt. Warum schreiben Sie eigentlich nicht unter Ihrem Klarnamen.

  5. Bei mir funktioniert auch alles einwandfrei. Da ist wohl einer nicht gut auf die Stadt zu sprechen… Schlimm, wenn Menschen versuchen zu zuerstören anstatt zu helfen… Herr Donners

    Admin
    Zu helfen. Man muss sich nur helfen lassen. Der Stadt ist bekannt, dass die Webseite gegen X-Frame angreifbar ist. Lösungsvorschläge hierzu gab es auch. Da sich nichts getan hat, habe ich in der vergangenen Woche Herrn … (MA der Stadt) angeschrieben. Ich war davon begeistert wie schnell eine Lösung herbeigeführt wurde. Innerhalb weniger Stunden war das Problem (oberflächlich gesehen) beseitigt. Also, nicht über den Magistrat sondern über einen MA geht das ganz fix. Dann das Problem mit JavaScript. Auch hier habe ich die Stadt (Sonntag, 23.06.2015) angeschrieben.

    Wo fehlt hier das Helfen? Die OBEREN reagieren einfach nicht.

    Zu dem Funktionieren
    Ich gebe Ihnen völlig recht. Nach einem Hinweis von mir am Sonntag an die Stadt und diesem Artikel hier, hat man nachgebessert. Das oben angezeigte Script wurde, kurz vor Ihrem Kommentar, erweitert. Dort steht jetzt:
    noscript style html{display : block ; } /style /noscript (Spitze Klammer habe ich weggelassen.)
    Das bedeutet: Wenn KEIN JaveScript zugelassen ist, wird die Webseite angezeigt. Dazu werde ich aber noch etwas formulieren.

  6. Guten Tag, danke Herr Anonymus, dank Ihnen wusste dann auch ich von welcher Seite Herr Donners spricht.

    Ich bin der Meinung das man hier nicht von Rufschädigung sprechen kann, dafür braucht die Stadt nicht Herrn Donners, dass bekommen sie gut alleine hin.
    Ich lese den Blog zwar nicht täglich, freue mich aber das so manches Thema auf den Tisch kommt von dem man sonst nichts mitbekommt!

    Ich hoffe Herrn Donners macht weiter so!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.