Nachdem das beA durch die vom Hacker Markus Drenger aufgedeckte Sicherheitslücke (eine gute Zusammenfassung findet sich bei FAZ Einspruch und bei SPIEGEL online) jetzt erst einmal offline bleibt und dies gute zehn Stunden vor Inkrafttreten der passiven Nutzungspflicht, hat Markus Drenger erneut eine Sicherheitslücke aufgedeckt:
Die beA-Webanwendung ist anfällig für XSS-Attacken. Bei diesem sog. Cross-Site-Skripting wird die Webanwendung zum Ausführen von Schadcode gebracht. In dem bereitgestellten Video zeigt Drenger, wie er durch eine einfache Änderung der URL den Browser dazu bringt, dass ein neuer Tab geöffnet wird.… Weiterlesen