Kommentar: Microsofts Auffassung von Sicherheit
An der Verstümmelung...
An der Verstümmelung des Internet Explorers scheint Microsoft mittlerweile Gefallen gefunden zu haben. Nach der lächerlichen Empfehlung, nicht mehr auf Links im Internet Explorer zu klicken, sondern stattdessen die URLs stets manuell in die Adresszeile einzugeben (!), folgt nun der nächste Knaller aus Redmond. Da man sich nicht in der Lage sieht, eine der besonders kritischen, seit langem unbehobenen Sicherheitslücken im Internet Explorer zu beheben, hat man kurzerhand beschlossen, die HTTP-Authentifizierung über Benutzernamen und Passwort in einer URL zu deaktivieren.
In dem Microsoft Knowledge Base Artikel 834489 heißt es unter anderem:
A security update is available that removes support for handling user names and passwords in HTTP and HTTP with Secure Sockets Layer (SSL) or HTTPS URLs in Microsoft Internet Explorer. The following URL syntax is no longer supported in Internet Explorer or Windows Explorer after you install the MS04-004 Cumulative Security Update for Internet Explorer (832894):
http(s)://username:password@server/resource.ext
Wer im Februar also Windows Update ausgeführt hat, ist von diesem Einschnitt betroffen. Doch wieso hat Microsoft sich zu diesem Schritt entschieden? Die Sache begann damit, dass mit Hilfe von besonderen Zeichen in URLs man den Internet Explorer dazu veranlassen konnte, beim Bewegen der Maus über einen Link nicht die komplette URL in der Statuszeile anzuzeigen. Zudem machen sich Verbrecher die Tatsache zu Nutze, dass nur wenige Anwender generell den Aufbau von URLs kennen. Dass die folgende URL nach ComputerBase und nicht nach Microsoft führt, mag noch einigen auffallen:
http://www.microsoft.com@computerbase.de
Aber wie sieht es aus, wenn man die ComputerBase Domain durch eine IP-Adresse ersetzt?
http://www.microsoft.com@80.237.216.146
Sicherlich nicht wenige würden auf diese Art der URL-Verschleierung hereinfallen. Denn alles vor dem @-Zeichen wird als Benutzername gewertet, erst danach folgt die Domain bzw. IP-Adresse.
Der seit einigen Wochen im Internet Explorer bekannte Bug ermöglicht es nicht nur, die in der URL auf das @ folgenden Zeichen in der Statusleiste komplett unsichtbar zu machen, sondern schreibt diese falsche URL auch in die Adresszeile, sodass es einem schlicht nicht auffallen kann, dass die URL gefälscht ist. Wer diesen Kommentar zusätzlich im Internet Explorer aufruft (als verantwortungsbewusster Surfer ist hoffentlich ansonsten mit einem sicheren Browser unterwegs) und auf den folgenden Link klickt, wird das gefährliche Potenzial dieses Bugs zu sehen bekommen.
http://www.microsoft.com%00@computerbase.de
Es ist ohne Ansicht des Quelltextes der Website bzw. der HTML E-Mail schlicht nicht möglich, die Domain herauszufinden, welche tatsächlich aufgerufen wird. Das Potenzial dieser Sicherheitslücke ist so groß, dass sie zum Ausspähen von Bankdaten und anderen sensiblen Informationen genutzt wird, indem der Anwender per E-Mail aufgefordert wird, zur Kontrolle beispielsweise die Bankdaten einzugeben. Wirkt dann auch noch die aufgerufene Website halbwegs authentisch, ist es aus Sicht der Verbrecher geschafft, da die Adresszeile schließlich eine willkürlich falsche Adresse anzeigt.
Offenbar sah sich Microsoft nicht in der Lage, diese gravierende Sicherheitslücke zu beheben. Stattdessen hat man wie eingangs erwähnt schlicht die HTTP-Authentifizierung über eine Benutzer- und Passwort-Kombination in der URL deaktiviert. Über einen Eingriff in der Registry lässt sich dies ändern, was jedoch nur im Intranet sinnvoll sein dürfte, denn wie die Vergangenheit gezeigt hat, etablieren sich Microsofts Standards.
Microsoft hat mit diesem Patch nicht die Authentifizierung über HTTP komplett unterbunden. Lediglich das Angeben des Benutzernamen oder gar Passwort direkt in der URL wird verhindert. Offenbar beschränkt sich dieser Eingriff zudem auf das HTTP-Protokoll. Fraglich ist, warum beispielsweise FTP nicht ebenso von dieser Maßnahme betroffen ist, schließlich würde sich auch dieses Protokoll zum Ausspähen von Passwörtern eignen, wenn auch bei weitem nicht so gut wie HTTP. Die Konsequenz wäre unter anderem gewesen, dass Benutzer des Internet Explorer mit dem neuesten Sicherheits-Update nicht mehr auf lokale ComputerBase Downloads hätten zugreifen können. Da sind wir bzw. viele unserer Leser mit dem Schrecken davon gekommen.
Doch es bleibt die Frage, ob es vertretbar ist, im Sinne der Sicherheit Features einfach zu deaktivieren, obwohl die Sicherheitslücke auch korrekt hätte behoben werden können! Schließlich zeigen andere Browser wieder einmal, wie es geht. So war beispielsweise auch Mozilla eingeschränkt (lediglich der Text in der Statuszeile war falsch, nicht der in der Adresszeile) anfällig für diese manipulierten URLs, Bug 228176 ist dort jedoch bereits lange Geschichte.
Update 10.02.2004: Ein großes Problem tut sich durch diesen Patch für Besitzer von @-Domains auf, welche schlichtweg nicht mehr erreichbar sind.
Hinweis: Der Inhalt dieses Kommentars gibt die persönliche Meinung des Autors wieder. Diese Meinung wird nicht notwendigerweise von der gesamten Redaktion geteilt.