Diese Website ist seit dem Ende des Studiengangs Informationswissenschaft
im Juni 2014 archiviert und wird nicht mehr aktualisiert.
Bei technischen Fragen: Sascha Beck - s AT saschabeck PUNKT ch
Drucken

Diskussionsbeiträge

Informationswissenschaftlicher Reader

Informationstechnik

Bekannte Probleme

Achtung! Beim Zugang zum World Wide Web gefährden viele Programmier- und sonstige Fehler in verschiedenen WWW-Programmen die Sicherheit Ihrer Daten!


Diese Informationen, Hinweise und Zitate sind nach bestem Wissen und Gewissen zusammengestellt, trotzdem sind Irrtümer, Fehler, Missverständnisse, Unvollständigkeiten und unentdeckte Gefahrenquellen nie ganz auszuschließen.


Stand: 01.02.1999, 09.40 Uhr.

Die Original-URL ist zu finden unter: http://www.uni-muenster.de/WWW/Sicherheit.html


!!!  

Mangelnde Sicherheit von WWW-Programmen

  !!!


Achtung! Beim Zugang zum World Wide Web gefährden viele Programmier- und sonstige Fehler in verschiedenen WWW-Programmen die Sicherheit Ihrer Daten!


Diese Informationen, Hinweise und Zitate sind nach bestem Wissen und Gewissen zusammengestellt, trotzdem sind Irrtümer, Fehler, Missverständnisse, Unvollständigkeiten und unentdeckte Gefahrenquellen nie ganz auszuschließen.


Stand: 01.02.1999, 09.40 Uhr.

Ich bin es leid, alle zwei Tage oder noch häufiger neue Fehlermeldungen schlimmster Art über die WWW-Programme Netscape Navigator/Communicator und Microsoft Internet Explorer und über die zugehörigen E-Mail-Komponenten in diese Seite einzuarbeiten. Trotzdem bin ich gezwungen, damit fortzufahren, weil immer wieder neue Fehler entdeckt werden.

Wegen der mittlerweile unübersehbar vielen Fehler in diesen Programmen (dabei meine ich nicht die Beta-Versionen!) und wegen der offensichtlichen Unfähigkeit der Firmen Netscape und Microsoft, Versionen dieser Programme herauszugeben, in denen nicht nach wenigen Tagen neue schwerwiegende Sicherheitsfehler gefunden werden, kann ich von der Benutzung dieser Programme nur noch dringendst abraten.

Die Fehler in diesen Programmen ermöglichen es Unbefugten alleine schon dadurch, dass Sie

  • eine von Angreifern gestaltete WWW-Seite betrachten oder
  • eine von Angreifern an Sie geschickte E-Mail anschauen,

je nach Fehler

  • mal Sie zur unerwünschten, ungesicherten Übertragung Ihrer Daten (z. B. Kreditkartennummer) an Dritte zu veranlassen, ohne dass Sie es merken,
  • mal bestimmte Dateien Ihres Rechners zu lesen (darunter auch solche mit Passwörtern),
  • mal alle Dateien Ihres Rechners zu lesen (darunter auch solche mit Passwörtern),
  • mal Ihre Internetnutzung zu protokollieren und so ein Persönlichkeitsprofil von Ihnen zu erstellen,
  • mal Ihre sonstige Rechnernutzung teilweise zu protokollieren und so ein noch besseres Persönlichkeitsprofil von Ihnen zu erstellen,
  • mal Ihre gesamte Rechnerkonfiguration (mit oder ohne Rückfrage) an die Herstellerfirma zu übermitteln,
  • mal Ihre Rechnernutzung sogar vollständig zu protokollieren und so ein perfektes Persönlichkeitsprofil von Ihnen zu erstellen,
  • mal bestimmte Dateien Ihres Rechners zu verändern und so ein von Ihnen unerwünschtes Verhalten Ihres Rechners zu veranlassen,
  • mal alle Dateien Ihres Rechners zu verändern und so unbrauchbar zu machen oder gar mit Viren zu versehen,
  • mal beliebigen Programmcode auszuführen und so vollständige Kontrolle über Ihren Rechner zu erhalten.

Dass diese Fehler nicht nur beim Anschauen von WWW-Seiten, sondern schon beim Anschauen böswillig geschriebener E-Mails wirken, setzt Sie gezielten Angriffen aus!

Die meisten Probleme entstehen durch Programmierfehler der Hersteller. Einige Probleme muss ich jedoch als vorsätzlich geschaffen betrachten: Cookies, ActiveX, SmartBrowsing usw.

Nicht verwenden sollten Sie folgende Versionen folgender Programme:

  • Sämtliche Beta- oder Preview-Version sämtlicher Programme
  • Netscape Navigator ab Version 2.0
  • Netscape Communicator ab Version 4.0
  • Microsoft Internet Explorer
  • Sun HotJava Version 1.0

Wenn Sie sich trotz dieser Warnung gezwungen sehen, eines dieser Programme zu verwenden, beachten Sie wenigstens folgende Hinweise:

  • Wenn Sie beabsichtigen, persönliche Daten in Formulare eintragen (z. B. Online-Banking, elektronische Bestellungen, Passwörter etc.): Öffnen Sie nur ein einziges WWW-Fenster! (Wenn Sie in der laufenden Sitzung bereits mehrere WWW-Fenster geöffnet hatten, beenden Sie das WWW-Programm vollständig und starten Sie es mit nur einem Fenster neu!)
  • Beachten Sie alle Sicherheitshinweise des jeweiligen Herstellers (z. B. Netscape, Microsoft, Sun usw.)!
  • Deaktivieren Sie zusätzlich alle Komponenten, in denen schon Sicherheitsprobleme gefunden wurden und in denen man aufgrund der bisherigen Erfahrungen weitere Fehler vermuten muss:
    • Speichern Sie keine Passwörter ab!
    • Deaktivieren Sie ActiveX vollständig!
    • Deaktivieren Sie JavaScript vollständig!
    • Dazu müssen Sie JavaScript nach jedem Programmstart explizit ein- und wieder ausschalten!
    • Deaktivieren Sie VBScript vollständig!
    • Deaktivieren Sie Java!
    • Installieren Sie keine Plugins!
    • Deaktivieren Sie das automatische Installieren von Plugins!
    • Deaktivieren Sie Cookies soweit es geht!
    • Schalten Sie Ihren lokalen Diskcache aus (Größe 0)!
    • Schalten Sie Ihren lokalen Memorycache aus (Größe 0)!
    • Schalten Sie alle verfügbaren Warnmeldungen ein!
    • Antworten Sie auf alle Rückfragen, ob Plugins installiert oder Daten nach außen transferiert werden sollen, mit »Nein«!
    • Legen Sie sich eine Sicherungskopie Ihrer Konfigurationsdatei ein, nachdem Sie alle obigen Einstellungen vorgenommen haben, und kopieren Sie diese Kopie bei jedem Programmstart an den Originalplatz zurück!
    • Löschen Sie vor jedem Programmstart die Datei, in der die Cookies abgespeichert werden!
    Durch diese Maßnahmen können Sie die meisten, aber bei weitem nicht alle Sicherheitsprobleme entschärfen.
    Mir ist bewusst, dass bei Beachten all dieser Hinweise die Programme manche WWW-Seiten nicht mehr anzeigen werden. Das gilt genauso bei Verwendung eines alternativen Browsers, siehe nächsten Abschnitt.

Sie sollten überlegen, ob es für Sie sinnvoll ist, auf eines der vielen anderen, teilweise frei verfügbaren WWW-Browser umzusteigen. Diese anderen Programme bieten Ihnen zwar vielleicht nicht die Vielfalt an Komponenten und Möglichkeiten, die Ihnen von den aktuellen Programmen der Marktführer geboten werden, doch werden Sie die fehlenden Komponenten und Möglichkeiten in aller Regel überhaupt nicht benötigen. Jedenfalls können Angreifer keine Fehler in Komponenten ausnutzen, wenn die Komponenten überhaupt nicht vorhanden sind.

An dieser Stelle sei eine Liste mit Alternativen genannt. Die Liste erhebt keinen Anspruch auf Vollständigkeit. Bei den mit (!) markierten Produkten sind mir die oben oder unten beschriebenen Sicherheitsprobleme bekannt. Das heißt jedoch nicht, dass die anderen, mit (+) markierten Produkte nicht auch Sicherheitsprobleme enthalten könnten, es sind mir nur keine bekannt. Sie sollten daher selbst mit diesen Browsern die obigen Vorsichtsmaßnahmen durchführen.

Hier einige unsortierte Quellenangaben, auf die ich in letzter Zeit hingewiesen wurde; vereinfacht nenne ich die Firmennamen anstelle der Programmbezeichnungen:




Es folgt alter Text, der bei der Menge der Fehler nur noch sehr unvollständig sein kann.

<font face="Arial"><font face="Arial">Bekannte Probleme</font></font></h2> <p><font face="Arial"><font face="Arial">Wenn die folgenden Beschreibungen sehr konfus wirken, hat dies schon seinen Grund: Eine übersichtliche Zusammenstellung der vielen Fehler ist mir nicht mehr möglich! </font></font></p><dl> <dt><font face="Arial"><font face="Arial">Netscape Communicator, Microsoft Outlook 98, Microsoft Outlook Express </font></font></dt><dd><font face="Arial"><font face="Arial">Die E-Mail-Komponenten von Netscape Communicator (bis mindestens 4.05) und von Outlook 98 und Outlook Express (zu Versionsangaben siehe <a href="#musoft1">obige Bemerkung</a>) enthalten Sicherheitsprobleme, die es Unbefugten ermöglichen, beliebige Dateien, auf die Sie zugreifen dürfen, an Dritte weiterzugeben, zu zerstören oder zu ändern, also auch mit Viren zu versehen, und das nur dadurch, dass Sie eine E-Mail ansehen. (Quelle und) Weitere Informationen hierzu: <a href="/../../../../../external.html?link=http://browserwatch.internet.com/news/story/news-980727-7.html">http://browserwatch.internet.com/news/story/news-980727-7.html</a>, <a href="/../../../../../external.html?link=http://browserwatch.internet.com/news/story/news-980727-8.html">http://browserwatch.internet.com/news/story/news-980727-8.html</a>, Microsoft Security Bulletin (MS98-008), <a href="/../../../../../external.html?link=http://www.netscape.com/products/security/resources/bugs/longfile.html">Netscape Security Note</a>.</font></font><p> </p></dd><dt><font face="Arial"><font face="Arial">LiveConnect: </font></font></dt><dd><font face="Arial"><font face="Arial">Der Fehler in der LiveConnect-Implementierung in einigen Versionen des Netscape Communicator ermöglicht es Unbefugten, alle Aktionen des Nutzers (welche Seiten er aufruft, was er in Formulare einträgt, welche Daten in Cookies gespeichert sind usw.) ohne sein Wissen zu verfolgen. Dieses Problem ist nur durch Umsteigen auf neuere Versionen zu beheben.</font></font><p> </p></dd><dt><font face="Arial"><font face="Arial">JavaScript: </font></font></dt><dd><font face="Arial"><font face="Arial">Die verschiedenen Fehler in den JavaScript-Implementierungen in etlichen (teilweise auch sehr neuen) Versionen der WWW-Browser von Netscape, Microsoft und anderen Herstellen ermöglichen es Unbefugten, alle Aktionen des Nutzers (welche Seiten er aufruft, was er in Formulare einträgt, welche Daten in Cookies gespeichert sind usw.) ohne sein Wissen zu verfolgen. Diese Probleme können, falls vom Programm vorgesehen, durch Deaktivierung von JavaScript umgangen werden.</font></font><p> </p><center><font face="Arial"><font face="Arial"><a href="#top"><img src="/../../Bot_up.html" border="0" height="27" width="27"></a></font></font></center> </dd><dt><font face="Arial"><font face="Arial">Netscape: </font></font></dt><dd><font face="Arial"><font face="Arial">Alle Versionen 2.* sowie die Versionen 3.0, 3.01 (vielleicht auch 3.02) und 4.0 des Netscape Navigator bzw. Communicator enthalten ein Sicherheitsproblem, durch welches beim Ansehen böswillig geschriebener WWW-Seiten beliebige Dateien, für die Sie Lesezugriff besitzen, an Dritte weitergegeben werden, vorausgesetzt, der Dateiname ist bekannt oder wurde erraten. Diese Probleme sind nur durch Umsteigen auf neuere Versionen zu beheben.</font></font><p> <font face="Arial"><font face="Arial">Die Versionen 4.0 bis 4.04 des Netscape Communicator enthalten ein Sicherheitsproblem, durch welches beim Ansehen böswillig geschriebener WWW-Seiten die Einstellungsdatei des Netscape Communicator an Dritte weitergegeben werden. Diese Einstellungsdatei enthält unter Ihre E-Mail-Adressen und andere persönliche Daten sowie, falls entsprechend eingestellt, auch Ihr Login-Passwort!</font></font></p><p> <font face="Arial"><font face="Arial">Die Versionen 4.0 bis 4.05 des Netscape Communicator enthalten zwei Fehler in der Java-Implementierung, deren Zusammentreffen es Unbefugten ermöglicht, beliebige Dateien, auf die Sie zugreifen dürfen, an Dritte weiterzugeben, zu zerstören oder zu ändern, also auch mit Viren zu versehen. Dieses Problem ist durch Deaktivieren von Java zu umgehen. Weitere Informationen zu diesem Bug finden Sie unter <a href="/../../../../../external.html?link=http://www.cs.princeton.edu/sip/History.html">http://www.cs.princeton.edu/sip/History.html</a>.</font></font></p><p> <font face="Arial"><font face="Arial">Zum Fehler in Version 4.06 siehe <a href="/../../../../../external.html?link=http://www.heise.de/newsticker/data/ju-20.08.98-000/">http://www.heise.de/newsticker/data/ju-20.08.98-000/</a></font></font></p><p> <font face="Arial"><font face="Arial">Zu Fehlern in Version 4.0 bis 4.07 siehe <a href="/../../../../../external.html?link=http://www.shout.net/~nothing/cache-cow/index.html">http://www.shout.net/~nothing/cache-cow/index.html</a> und <a href="/../../../../../external.html?link=http://www.news.com/News/Item/0,4,26875,00.html?st.ne.fd.gif.e">http://www.news.com/News/Item/0,4,26875,00.html?st.ne.fd.gif.e</a>, diese Fehler ermöglichen es Unbefugten, alle lokal zwischengespeicherten Seiten und alle Cookies zu lesen (diese Daten enthalten u. U. Passwörter!), ein weiterer Fehler (siehe <a href="/../../../../../external.html?link=http://www.shout.net/~nothing/buffer-overflow-1/index.html">http://www.shout.net/~nothing/buffer-overflow-1/index.html</a>) erlaubt sogar Unbefugten, beliebigen Programmcode auszuführen, also beliebige Dateien, auf die Sie zugreifen dürfen, an Dritte weiterzugeben, zu zerstören oder zu ändern, also auch mit Viren zu versehen, also vollständige Kontrolle über Ihren Rechner zu erhalten. </font></font></p><p> </p><center><font face="Arial"><font face="Arial"><a href="#top"><img src="/../../Bot_up.html" border="0" height="27" width="27"></a></font></font></center> </dd><dt><font face="Arial"><font face="Arial">Microsoft: </font></font></dt><dd><font face="Arial"><font face="Arial">Die verbreiteten Versionen 2.0 bis 4.01 SP1 (selbst mit den ersten Patches) des Microsoft Internet Explorers enthalten verschiedene massive, von der Konfiguration unabhängige Sicherheitsprobleme, von denen einige es Unbefugten ermöglichen, beliebige Dateien, auf die Sie zugreifen dürfen, an Dritte weiterzugeben, zu zerstören oder zu ändern, also auch mit Viren zu versehen, also vollständige Kontrolle über Ihren Rechner zu erhalten. Einige dieser Fehler entstanden bei Microsofts Versuch, das World Wide Web und lokale Systemkomponenten unter Windows ineinander zu integrieren, bei dem unter Umständen gewissen Daten aus dem World Wide Web fälschlicherweise ähnliches Vertrauen auf Seriösität wie lokalen Daten eingeräumt wurde. Folglich konnte der Benutzer beim Anschauen unseriöser WWW-Seiten dazu gebracht werden, ohne Vorwarnung und ahnungslos gefährliche Programme auszuführen. Diese Probleme sind nur durch Umsteigen auf neueste, korrigierte Versionen zu beheben, falls solche schon vorliegen.</font></font><p> <font face="Arial"><font face="Arial">Zu Fehlern in Version 4 und Version 5.Preview siehe <a href="/../../../../../external.html?link=http://pages.whowhere.com/computers/cuartangojc/cuartangoh1.html">http://pages.whowhere.com/computers/cuartangojc/cuartangoh1.html</a>, dieser Fehler ermöglicht es Unbefugten, alle Ihre Dateien zu lesen (diese Daten enthalten u. U. Passwörter!)</font></font></p><p> </p></dd><dt><font face="Arial"><font face="Arial">ActiveX: </font></font></dt><dd><font face="Arial"><font face="Arial">Microsoft Internet Explorer und andere Programme mit ActiveX enthalten ebenfalls ein massives, inhärentes Sicherheitsproblem, wenn Sie das Downloading <em>aktiver Inhalte</em>, also von Programmen erlauben, da diese mit voller Kontrolle über Ihren Rechner ablaufen, also wirklich alles machen können. Diese Probleme können, falls vom Programm vorgesehen, durch Deaktivierung von ActiveX bzw. von <em>Download active contents</em> umgangen werden. (Im Vergleich dazu laufen Java-Programme in einer virtuellen Maschine, können also – solange diese virtuelle Maschine sauber programmiert ist – keinen Schaden anrichten.)</font></font><p> </p></dd><dt><font face="Arial"><font face="Arial">Java: </font></font></dt><dd><font face="Arial"><font face="Arial">Viele ältere WWW-Programme mit Java-Unterstützung, aber auch Netscape Navigator/Communicator in den Versionen 4.0 bis 4.05, enthalten massive, sehr verschiedene Sicherheitsprobleme in der virtuellen Java-Maschine, die es Unbefugten ermöglichen, beliebige Dateien, auf die Sie zugreifen dürfen, an Dritte weiterzugeben, zu zerstören oder zu ändern, also auch mit Viren zu versehen. Diese Probleme können durch Umsteigen auf neuere Versionen oder notfalls, falls vom Programm vorgesehen, durch Deaktivierung von Java umgangen werden. Die Arbeitsgruppe <em>Secure Internet Programming</em> an der Princeton University fasst <a href="/../../../../../external.html?link=http://www.cs.princeton.edu/sip/">Nachrichten und Neuigkeiten zu Problemen mit Java und einigen anderen Bereichen</a> zusammen.</font></font><p> </p></dd><dt><font face="Arial"><font face="Arial"><a name="cookies">Cookies:</a> </font></font></dt><dd><font face="Arial"><font face="Arial">Ebenfalls personenbezogene Daten können ohne Ihr Einverständnis mit Hilfe von sogenannten Cookies gespeichert und abgerufen werden. Allerdings können nur solcher Daten übertragen werden, die Sie früher schon einmal an die gleiche Stelle übertragen haben. Damit ist allerdings eine Zuordnung zwischen verschiedenen Sitzungen und damit das Anlegen eines Persönlichkeitsprofils möglich. Diese Probleme können meistens nicht umgangen werden. Manche WWW-Programme bieten aber immerhin die Möglichkeit, den Nutzer vor dem Abspeichern eines Cookies zu warnen. Auch werden die Cookies in Dateien auf Ihrem Rechner gespeichert, die Sie vor einem erneuten Aufruf des WWW-Programms löschen können.</font></font><p> <!-- Weitere, ausführliche Informationenen zu Cookies finden Sie auf der <a href="/SicherheitCookies.html">Kopie einer FAQ-Seite von Compuserve</a>. Das Original finden Sie <a href="/http://go.compuserve.de/cgi-bin/show-cookie-faq.pl">hier</a>. Zu den auf diesen Seiten genannten Sicherheitsrisiken ist allerdings noch eine unerfreuliche Ergänzung notwendig:<p> --> <font face="Arial"><font face="Arial">Mittlerweile haben sich viele Firmen in Ringen zusammengeschlossen. Diese Ringe verwenden jeweils eine gemeinsame Komponente auf ihren Seiten, meist in Form von Bildchen, die von einem gemeinsamen zentralen Server geladen werden. Da diese Firmen die Cookies jetzt nicht mit dem Text, sondern mit diesem Bildchen verbinden, haben alle diese Firmen im Ring Zugriff auf alle Informationen, die man irgendwann einmal an eine beliebige dieser Firmen weitergegeben hat. Die Firmen sind so in der Lage, ein perfektes Persönlichkeitsprofil aufbauen!</font></font></p><p> </p></dd><dt><font face="Arial"><font face="Arial">E-Mail und NetNews: </font></font></dt><dd><font face="Arial"><font face="Arial">Besonders gefährlich ist bei vielen WWW-Programmen, dass sie JavaScript-, Java- und ActiveX-Programme nicht nur von WWW-Seiten aus starten, sondern auch dann, wenn Sie sich E-Mails oder NetNews-Artikel anschauen, die im HTML-Format geschrieben sind. Damit sind Sie gezielten Angriffen auf Ihre Daten ausgesetzt!</font></font><p> </p></dd><dt><font face="Arial"><font face="Arial">Passwörter: </font></font></dt><dd><font face="Arial"><font face="Arial">Sie sollten niemals irgendwelche Passwörter auf Ihrem System abspeichern. Wie das im März 1998 bei T-Online aufgedeckte Sicherheitsloch beweist, können durch Programme, die nach der Methode der Trojanischen Pferde vorgehen, diese Passwörter an Dritte übermittelt werden. Durch verschiedene Programmierfehler können auch die Versionen 4.0 bis 4.04 des Netscape Communicator, die Versionen 4.0 bis 4.01 des Microsoft Internet Explorer sowie auch etliche andere Versionen verschiedener Programme, vor denen oben gewarnt wird, als Trojanische Pferde eingesetzt werden.</font></font><p> </p></dd><dt><font face="Arial"><font face="Arial">Leichtsinn: </font></font></dt><dd><font face="Arial"><font face="Arial">Durch unvorsichtiges Handeln können Sie natürlich noch viele weitere Sicherheitsprobleme schaffen: Beim Einrichten von <em>Helper Applications</em> und <em>Plug-Ins</em> für Ihren WWW-Browser sollten Sie die gleiche Vorsicht wie beim Schutz vor Viren und Trojanischen Pferden walten lassen: Installieren Sie keine Programme und Daten, denen Sie nicht unbedingt vertrauen können. Nur durch die Missachtung dieser Regel durch Hunderte von T-Online-Nutzern konnten die im März 1998 an die Öffentlichkeit getretenen Hacker deren Zugangsdaten ermitteln.</font></font><p> </p></dd></dl> <p><font face="Arial"><font face="Arial">Weitere Informationen zu verschiedenen Problemen finden Sie auf den WWW-Seiten der Hersteller. Folgen Sie dazu den oben eingerichteten Querverweisen. </font></font></p><center><font face="Arial"><font face="Arial"><a href="#top"><img src="/../../Bot_up.html" border="0" height="27" width="27"></a></font></font></center> <h2><font face="Arial"><font face="Arial">Zusätzliche Hinweise zu einzelnen Programmen</font></font>

Netscape Navigator und Communicator

  • Schalten Sie alle oben genannten Komponenten aus.
  • Löschen Sie vor jeder Sitzung die Datei cookies oder cookie.txt oder ähnlich im Netscape-Verzeichnis.
  • Bei manchen Versionen unter manchen Betriebssystemen mag es funktionieren, wenn man die Cookie-Datei mit Schreibschutz versieht oder durch ein gleichnamiges Verzeichnis ersetzt. Andere Versionen stürzen dann aber möglicherweise ab.

Microsoft Internet Explorer

  • Bei Version 4.x befolgen Sie bitte die Einstellungshinweise von P. Kolloczek vom DaWIN-Team
  • Schalten Sie alle oben genannten Komponenten aus.
  • Stellen Sie die Sicherheitseinstellungen auf maximal und schalten Sie zusätzlich von Hand die dann noch nicht eingeschalteten Sicherheitsmaßnahmen ein.
  • Löschen Sie vor jeder Sitzung die Datei cookies oder cookie.txt oder ähnlich im Internet-Explorer-Verzeichnis.
  • Bei manchen Versionen unter manchen Betriebssystemen mag es funktionieren, wenn man die Cookie-Datei mit Schreibschutz versieht oder durch ein gleichnamiges Verzeichnis ersetzt. Andere Versionen stürzen dann aber möglicherweise ab.