Abo
  • Services:
Anzeige

FTP-Funktion des Internet Explorers als Passwort-Schleuder

Username und Passwort werden unbemerkt in lokalen Dateien gespeichert

Unter recht alltäglichen Umständen speichert der Internet Explorer 6 in Webseiten, die per FTP heruntergeladen wurden, den Benutzernamen und das Passwort des Benutzers. Dieses Verhalten kann fatal sein, wenn man das Programm zur Verwaltung seiner Internetpräsenz verwendet.

Neben seinem Hauptzweck als Webbrowser kann der Internet Explorer 6 (IE6) auch als FTP-Client dienen. Das ist vor allem auf öffentlichen Rechnern, die meist mit dem IE ausgestattet sind, recht praktisch, wenn man an der eigenen Webseite kleine Aktualisierungen vornehmen will - ein vollwertiger FTP-Client ist dann nicht nötig.

Anzeige

Die Behandlung von HTML-Dateien durch den Internet Explorer weist jedoch ein mehr als merkwürdiges Verhalten auf, das zu fatalen Sicherheitslücken führen kann. Ist man auf einem Server per FTP eingeloggt und klickt in der Verzeichnisstruktur eine HTML-Datei doppelt an, so öffnet sie sich wie bei einem gewöhnlichen Browser. Klickt man dann jedoch auf "Datei / Speichern unter", so landet die Webseite mitsamt der vollständigen FTP-URL auf der lokalen Festplatte. In der HTML-Datei findet sich dann eine Zeile der Art:

<!-- saved from url=(0096)ftp://admin:root@ftp.server.com/verzeichnis/datei.html -->

HTML-Quelltext mit FTP-Passwort
HTML-Quelltext mit FTP-Passwort
Lädt man diese Datei anschließend wieder per FTP auf den Server, so stehen in der HTML-Datei stets der Benutzername und das Passwort des Servers. Die Informationen sind, für normale Websurfer unsichtbar, im Quelltext der HTML-Seite eingebettet. Ein Blick in den Seiten-Quelltext zeigt aber die Daten an. Auch Webserver durch Skripte automatisiert nach FTP-Daten durchsuchen zu lassen ist denkbar.

In der Praxis erscheint das folgende Szenario durchaus als realistisch: Man hat auf dem heimischen FTP-Server, der nur als Zugriff auf die eigenen Arbeiten dient, eine HTML-Datei gespeichert, die beispielsweise eine selbst geschriebene Webanwendung enthält. Diese Datei öffnet man bei einem Bekannten oder einem Kunden per IE6, um sie auf Funktion zu prüfen, und speichert sie dann lokal. Unbesehen lädt man sie auf den Webserver des Kunden oder seines Freundes - und dort stehen dann die Zugangsdaten für den eigenen FTP-Server, bis jemand den Fehler bemerkt.

In der Redaktion von Golem.de ließ sich dieses Verhalten mit einem aktuell gepatchten IE6 unter Windows XP nachvollziehen. Das Problem tritt jedoch nicht auf, wenn man die Datei noch in der FTP-Ansicht nach einem Rechtsklick mit "In Ordner kopieren" auf die lokale Festplatte überträgt. Die Datei muss, damit die URL eingebettet wird, per Doppelklick geöffnet und erst dann gespeichert werden. Der Effekt scheint also aufzutreten, wenn der IE6 von der FTP- zur Browser-Ansicht wechselt.

Auf die Sicherheitslücke wies zuerst Brian Krebs von der Washington Post in seinem Blog hin. Getreu dem Motto "It's not a bug, it's a feature" erklärte dem Kolumnisten der einflussreichen US-Tageszeitung gegenüber Microsoft, dieses Verhalten des Browsers sei durchaus so gewünscht. Der FTP-Zugang werde gespeichert, weil er Teil der URL der heruntergeladenen Datei sei. Damit diese später in derselben Sicherheitszone des Browsers geöffnet würde, sei dies notwendig. Außerdem, so Microsoft weiter, sei der Internet Explorer nicht als vollwertiger FTP-Client gedacht, die Funktion sei nur "zur Bequemlichkeit" vorhanden.

Wie Brian Krebs berichtet, erhielt er am Rande der Sicherheitskonferenz "Def Con" einen Tipp zu der Lücke. Die Quelle des Journalisten hat Krebs zufolge bereits 2004 Microsoft auf das Problem hingewiesen. Damals erhielt der Mann die Antwort, man müsse den Browser komplett umschreiben, um das Verhalten abzustellen. Das Problem ist aber auch noch im Internet Explorer 7 zu finden. Offenbar besteht seitens Microsoft keine Absicht, dieses Verhalten des Browsers zu ändern, so dass man beim Speichern von HTML-Dokumenten via FTP gründlich aufpassen muss - und am besten gleich die eigenen Webseiten überprüft, wenn man den IE für FTP-Operationen benutzt hat. Auch das Sicherheitsunternehmen Secunia stuft in einem Bulletin das Verhalten des IE als "Schwachstelle" ein.


eye home zur Startseite
smalltalk 15. Aug 2007

Konqueror : Dateiverwaltung WEB-Browser FTP-Client SFTP-Client Samba-Client Leseprogramm...

Forkbome 15. Aug 2007

Auch mit lynx? :)

Tenschman 14. Aug 2007

Vllt weil die Entwickler genau das getan haben, was man mit .net vermeiden will? Code...

RaiseLee 14. Aug 2007

Haha, golems ihr habt euren FTP gerade offen gelegt, admin als benutzer und root als...

admin:root 14. Aug 2007

...die meine Account-Daten und mein geheimes Passwort :)


Alexander Stelter / 14. Aug 2007

IE6 als FTP-Client ->Sicherheitsloch



Anzeige

Stellenmarkt
  1. IT2media GmbH & Co.KG, Nürnberg
  2. ROHDE & SCHWARZ GmbH & Co. KG, München
  3. Robert Bosch GmbH, Leonberg
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Hardware-Angebote
  1. 599€ + 5,99€ Versand
  2. 449€

Folgen Sie uns
       


  1. U-Bahn

    Telefónica baut BTS-Hotels im Berliner Untergrund

  2. Kabelnetz

    Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

  3. Virtuelle Güter

    Activision patentiert Förderung von Mikrotransaktionen

  4. Nervana Neural Network Processor

    Intels KI-Chip erscheint Ende 2017

  5. RSA-Sicherheitslücke

    Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

  6. The Evil Within 2 im Test

    Überleben in der Horror-Matrix

  7. S410

    Getacs modulares Outdoor-Notebook bekommt neue CPUs

  8. Smartphone

    Qualcomm zeigt 5G-Referenz-Gerät

  9. Garmin Speak

    Neuer Alexa-Lautsprecher fürs Auto zeigt den Weg an

  10. Datenrate

    Kunden wollen schnelle Internetzugänge



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

  1. Re: Ich habe 12 Minuten..

    maxule | 00:32

  2. Fakten und Relationen: Schnell, aber nicht den...

    DerDy | 00:32

  3. Re: Die Kunden wollen, aber die Anbieter nicht

    DerDy | 00:17

  4. Re: Warum mischt man den Kohlenstoff nicht

    plutoniumsulfat | 00:16

  5. Spezialprozessor

    honna1612 | 00:14


  1. 19:09

  2. 17:40

  3. 17:02

  4. 16:35

  5. 15:53

  6. 15:00

  7. 14:31

  8. 14:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel