Abo
  • Services:
Anzeige

FTP-Funktion des Internet Explorers als Passwort-Schleuder

Username und Passwort werden unbemerkt in lokalen Dateien gespeichert

Unter recht alltäglichen Umständen speichert der Internet Explorer 6 in Webseiten, die per FTP heruntergeladen wurden, den Benutzernamen und das Passwort des Benutzers. Dieses Verhalten kann fatal sein, wenn man das Programm zur Verwaltung seiner Internetpräsenz verwendet.

Neben seinem Hauptzweck als Webbrowser kann der Internet Explorer 6 (IE6) auch als FTP-Client dienen. Das ist vor allem auf öffentlichen Rechnern, die meist mit dem IE ausgestattet sind, recht praktisch, wenn man an der eigenen Webseite kleine Aktualisierungen vornehmen will - ein vollwertiger FTP-Client ist dann nicht nötig.

Anzeige

Die Behandlung von HTML-Dateien durch den Internet Explorer weist jedoch ein mehr als merkwürdiges Verhalten auf, das zu fatalen Sicherheitslücken führen kann. Ist man auf einem Server per FTP eingeloggt und klickt in der Verzeichnisstruktur eine HTML-Datei doppelt an, so öffnet sie sich wie bei einem gewöhnlichen Browser. Klickt man dann jedoch auf "Datei / Speichern unter", so landet die Webseite mitsamt der vollständigen FTP-URL auf der lokalen Festplatte. In der HTML-Datei findet sich dann eine Zeile der Art:

<!-- saved from url=(0096)ftp://admin:root@ftp.server.com/verzeichnis/datei.html -->

HTML-Quelltext mit FTP-Passwort
HTML-Quelltext mit FTP-Passwort
Lädt man diese Datei anschließend wieder per FTP auf den Server, so stehen in der HTML-Datei stets der Benutzername und das Passwort des Servers. Die Informationen sind, für normale Websurfer unsichtbar, im Quelltext der HTML-Seite eingebettet. Ein Blick in den Seiten-Quelltext zeigt aber die Daten an. Auch Webserver durch Skripte automatisiert nach FTP-Daten durchsuchen zu lassen ist denkbar.

In der Praxis erscheint das folgende Szenario durchaus als realistisch: Man hat auf dem heimischen FTP-Server, der nur als Zugriff auf die eigenen Arbeiten dient, eine HTML-Datei gespeichert, die beispielsweise eine selbst geschriebene Webanwendung enthält. Diese Datei öffnet man bei einem Bekannten oder einem Kunden per IE6, um sie auf Funktion zu prüfen, und speichert sie dann lokal. Unbesehen lädt man sie auf den Webserver des Kunden oder seines Freundes - und dort stehen dann die Zugangsdaten für den eigenen FTP-Server, bis jemand den Fehler bemerkt.

In der Redaktion von Golem.de ließ sich dieses Verhalten mit einem aktuell gepatchten IE6 unter Windows XP nachvollziehen. Das Problem tritt jedoch nicht auf, wenn man die Datei noch in der FTP-Ansicht nach einem Rechtsklick mit "In Ordner kopieren" auf die lokale Festplatte überträgt. Die Datei muss, damit die URL eingebettet wird, per Doppelklick geöffnet und erst dann gespeichert werden. Der Effekt scheint also aufzutreten, wenn der IE6 von der FTP- zur Browser-Ansicht wechselt.

Auf die Sicherheitslücke wies zuerst Brian Krebs von der Washington Post in seinem Blog hin. Getreu dem Motto "It's not a bug, it's a feature" erklärte dem Kolumnisten der einflussreichen US-Tageszeitung gegenüber Microsoft, dieses Verhalten des Browsers sei durchaus so gewünscht. Der FTP-Zugang werde gespeichert, weil er Teil der URL der heruntergeladenen Datei sei. Damit diese später in derselben Sicherheitszone des Browsers geöffnet würde, sei dies notwendig. Außerdem, so Microsoft weiter, sei der Internet Explorer nicht als vollwertiger FTP-Client gedacht, die Funktion sei nur "zur Bequemlichkeit" vorhanden.

Wie Brian Krebs berichtet, erhielt er am Rande der Sicherheitskonferenz "Def Con" einen Tipp zu der Lücke. Die Quelle des Journalisten hat Krebs zufolge bereits 2004 Microsoft auf das Problem hingewiesen. Damals erhielt der Mann die Antwort, man müsse den Browser komplett umschreiben, um das Verhalten abzustellen. Das Problem ist aber auch noch im Internet Explorer 7 zu finden. Offenbar besteht seitens Microsoft keine Absicht, dieses Verhalten des Browsers zu ändern, so dass man beim Speichern von HTML-Dokumenten via FTP gründlich aufpassen muss - und am besten gleich die eigenen Webseiten überprüft, wenn man den IE für FTP-Operationen benutzt hat. Auch das Sicherheitsunternehmen Secunia stuft in einem Bulletin das Verhalten des IE als "Schwachstelle" ein.


eye home zur Startseite
smalltalk 15. Aug 2007

Konqueror : Dateiverwaltung WEB-Browser FTP-Client SFTP-Client Samba-Client Leseprogramm...

Forkbome 15. Aug 2007

Auch mit lynx? :)

Tenschman 14. Aug 2007

Vllt weil die Entwickler genau das getan haben, was man mit .net vermeiden will? Code...

RaiseLee 14. Aug 2007

Haha, golems ihr habt euren FTP gerade offen gelegt, admin als benutzer und root als...

admin:root 14. Aug 2007

...die meine Account-Daten und mein geheimes Passwort :)


Alexander Stelter / 14. Aug 2007

IE6 als FTP-Client ->Sicherheitsloch



Anzeige

Stellenmarkt
  1. stoba Präzisionstechnik GmbH & Co. KG, Backnang (nahe Stuttgart)
  2. AEbt Angewandte Eisenbahntechnik GmbH, Nürnberg
  3. über Baumann Unternehmensberatung AG, Düsseldorf
  4. Bundesamt für Verfassungsschutz, Köln


Anzeige
Spiele-Angebote
  1. 1,49€
  2. 4,99€
  3. 99,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Bildbearbeitung

    Google-Algorithmus entfernt Wasserzeichen auf Fotos

  2. Ladestationen

    Regierung lehnt Zwangsverkabelung von Tiefgaragen ab

  3. Raspberry Pi

    Raspbian auf Stretch upgedated

  4. Trotz Förderung

    Breitbandausbau kommt nur schleppend voran

  5. Nvidia

    Keine Volta-basierten Geforces in 2017

  6. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  7. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  8. id Software

    Quake Champions startet in den Early Access

  9. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen

  10. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
C64-Umbau mit dem Raspberry Pi: Die Wiedergeburt der Heimcomputer-Legende
C64-Umbau mit dem Raspberry Pi
Die Wiedergeburt der Heimcomputer-Legende

Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Automatisierte Lagerhäuser Ein riesiger Nerd-Traum
  3. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten

Surface Laptop im Test: Microsofts Next Topmodel hat zu sehr abgespeckt
Surface Laptop im Test
Microsofts Next Topmodel hat zu sehr abgespeckt
  1. Unzuverlässige Surfaces Microsoft widerspricht Consumer Reports
  2. Microsoft Surface Pro im Test Dieses Tablet kann lange
  3. Microsoft Neues Surface Pro fährt sich ohne Grund selbst herunter

  1. Re: Eine Zwangsbestimmung braucht niemand, aber...

    ArcherV | 07:51

  2. Re: Das ist nicht die Aufgabe des Staates

    ArcherV | 07:50

  3. Re: Standard-Nutzername lautet pi

    GenXRoad | 07:00

  4. Re: Wird doch nix

    Ovaron | 06:00

  5. ADblock Golem

    JoachimUrlaub | 05:22


  1. 14:38

  2. 12:42

  3. 11:59

  4. 11:21

  5. 17:56

  6. 16:20

  7. 15:30

  8. 15:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel