Mindestens 30 deutsche Banken haben ein Sicherheitsproblem auf ihren
Webseiten: Mittels Cross-Site-Scripting (XSS) lassen sich in die Frames
der Seiten beliebige Inhalte anderer Seiten einblenden. Die Mitglieder
der Gruppe Electrical Ordered Freedom (EOF) haben die Seite "Phishmarkt"
ins Netz gestellt, die bei mehr als 70 Webauftritten das Problem
illustriert, 30 der Seiten gehören zu deutschen Banken, darunter die
Sparkasse Dachau, Berliner Volksbank und die Deutsche Kreditbank.

Phisher können über Cross-Site-Scripting etwa in die Original-Seiten
der Banken ihre Inhalte einblenden und Opfer gezielt nach PIN und TAN
fragen. Aber auch missliebige oder verleumderische Inhalte lassen sich
so in Seiten einblenden. In der Regel genügt es dazu, in der URL einer
Seite die Frame-Set-Angaben zu manipulieren, um externe Inhalte
einzublenden:

https://server.de/frameset.php?L=1&H=http://angriff/inhalt

Da der eingebundene Inhalt vom Originalserver ausgeliefert wird,
funktioniert in vielen Fällen auch SSL fehlerfrei. Ein Opfer kann dann
selbst durch die Prüfung des Zertifikates nicht feststellen, dass seine
Daten bei Phishern landen. … 

Einfach nur WAHNSINN! Das da nicht reagiert wird..!

(via heise ) {moscomment}