Warum wird das Favicon gesperrt?

  • Wenn ich eine von Smart Security 6 gesperrte Website aufrufe erhalte ich öfters mal 3 Warnungen. Zwei der Meldungen sagen aus, dass Smart Security das Favicon blockiert hat und die dritte Meldung besagt, dass die Domain selber gesperrt wurde.

    Warum wird das Favicon doppelt gemeldet und warum wird es überhaupt gesondert blockiert?

  • Hallo,

    das hat verschiedene Gründe - einer davon ist, dass der das Icon hostende Server sonst schon eine Rückmeldung bekommt, von welcher IP-Adresse versucht wurde die Webseite aufzurufen - Es soll also jegliche Kommunikation zur gesperrten Webseite verhindert werden - darüber hinaus ließe sich so ein Favicon auch manipulieren und im schlimmsten Falle schon zu einer Infektion oder über Umleitungen etc. führen.

    Dass die Meldung mehrmals kommt, liegt an den Browsern, die erneut nach dem ersten Fehlschlagen versuchen, das Icon zu laden. Wir suchen gerade nach einer Möglichkeit die Anzahl der Meldungen zu minimieren...

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

  • Das klingt soweit ganz gut. Wie kommt es zu dem Unterschied zwischen den Meldungen bei dem 1. Mal aufrufen einer Seite und dem Neuladen einer Seite? Wenn ich die Seite dann neu lade wird mir oft nur eine Meldung angezeigt und die bezieht sich dann nur auf die Domain selber, nicht auch auf die Favicons.

  • Das kann mit der Anzeigedauer der Meldungen zusammenhängen, die auch Routinen beinhaltet, die ein erneutes Anzeigen beinhalten - oder aber auch mit dem Browser selbst, der vielleicht der Meinung ist, bei einem Reload der Seite, das Favicon schon im Cache zu haben - die Gründe sind also unterschiedlich...

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

  • Das wird dann in meinem Fall am Cache des Browsers liegen.

    Eine letzte Frage habe ich noch, die ich leider nicht vorher posten konnte, weil das Beiträge bearbeiten bei mir nicht geht. Wozu ist die Funktion "URL anzeigen" bei potentiell unerwünschten/gefährlichen Internetseiten? Wenn ich darauf klicke versucht er die Adresse erneut abzurufen.

    Anmerkung: Nun geht die Bearbeiten-Funktion. Vielleicht lag es an meiner geringen Anzahl an Posts.

  • "Potentiell" heißt nicht unbedingt gleich "ist" gefährlich. Man kann auf solche Seiten auch über Um- oder Weiterleitungen gelangen, von daher gibt es die Möglichkeit, die URL anzeigen zu lassen, die erst einmal nur den Link in dem Warnfenster anzeigt. Das Laden der Seite geht dann nur über den entsprechenden Button.

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

  • Nicht immer muss der Link im URL Feld auch der sein, der gesperrt wird. Immer ist jedoch der über das Warnfenster dann angezeigte Link der gesperrte ;)

    Beispiel:
    Aufruf von hxxp://http://www.XY.de - der Quellcode enthält nichts weiter als eine iFrame-Weiterleitung zu hxxp://http://www.YZ.de.
    Im Adressfeld des Browsers steht immer noch hxxp://http://www.XY.de - gesperrt wurde jedoch hxxp://http://www.YZ.de - über "URL anzeigen" wird im Warnfenster dann korrekt hxxp://http://www.YZ.de angezeigt - immer noch im Adressfeld des Browsers jedoch hxxp://http://www.XY.de

    ...ganz grob vereinfacht ;)

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!