Sicherheitsforscher der Stanford University fanden heraus, dass die bei Seitenerstellern und –betreibern als Mittel gegen automatisierten Spam beliebten Captchas recht einfach zu umgehen sind.

Die Forscher untersuchten 15 existierende visuelle Captchas, die auf verzerrten Buchstaben und Ziffern mit aufgeprägten Störungen bestehen, um zu verhindern, dass Computer sie auflösen können.

Sie entwickelten ein Tool namens Decaptcha und waren damit in der Lage, 13 von den 15 untersuchten Captchas auszuhebeln und maschinell aufzulösen. Einzig Captcha und Recaptcha von Google konnten dem Programm Decaptcha Widerstand leisten.

Wir sollten uns also besser die nicht textbasierten Varianten der Mensch-Maschine-Unterscheidung ansehen Es müssen ja nicht unbedingt Katzenbilder (die sind übrigens auch schon geknackt) oder Audioclips (können Copyright-Probleme machen) sein, ein gutes einfaches Rechen-Captcha (2+7=?) ist da sicher vorzuziehen.

Zum Ende letzter Woche hat Oracle ein Java SE-Update veröffentlicht, das insgesamt 20 Sicherheitslücken schließen soll. Das Update gibt es für Windows, Linux und Solaris. Die Windows-Version wird über die automatische Schnittstelle Windows Update angeboten, man kann aber alle Patches bei Oracle downloaden.

Bis auf eine lassen sich alle 20 Sicherheitslücken über das Netz ohne Authentifizierung nutzen. Sechs davon werden von Oracle als “kritisch” eingestuft.

Auch die seit Ende September bekannte Lücke in Version 1.0 der Transport Layer Security (TLS), einer Verschlüsselung, die per HTTPS aufgerufene Websites sichern soll, wird mit diesem Update geschlossen.

In einer vor Kurzem veröffentlichten Analyse des Open Web Application Security Projekts, kurz OWASP, wurden die häufigsten zehn Fehler in Webprogrammen und auch die dadurch erzeugten Schwachstellen dargelegt.

Im Jahr 2010 wurden als größtes Problem die Injection-Angriffe identifiziert.  Als nächstes folgen in der Liste das Cross Site Scripting und fehlerhaftes Anmeldungs- und Session-Management.

Hier die gesamte Fehlerliste der OWASP geordnet in der Reihenfolge der Häufigkeit ihres Auftretens:

1. Injection
2. Cross Site Scripting
3. Broken Authentication and Session-Management
4. Insecure Direct Object References
5. Cross Site Request Forgery (CSRF)
6. Security Misconfiguration
7. Insecure Cryptografic Storage
8. Failure to Restrict URL Access
9. Insufficient Transport Layer Protection
10. Unvalidated Transport Layer Protection

Der Report will auf diese Sicherheitsrisiken bei der Webprogrammierung hinweisen und vor allem die Entwickler von Webanwendungen für die typischen Fehler dieser Art bei der Programmierung sensibilisieren.