Abo
  • Services:

FTP-Funktion des Internet Explorers als Passwort-Schleuder

Username und Passwort werden unbemerkt in lokalen Dateien gespeichert

Unter recht alltäglichen Umständen speichert der Internet Explorer 6 in Webseiten, die per FTP heruntergeladen wurden, den Benutzernamen und das Passwort des Benutzers. Dieses Verhalten kann fatal sein, wenn man das Programm zur Verwaltung seiner Internetpräsenz verwendet.

Artikel veröffentlicht am ,

Neben seinem Hauptzweck als Webbrowser kann der Internet Explorer 6 (IE6) auch als FTP-Client dienen. Das ist vor allem auf öffentlichen Rechnern, die meist mit dem IE ausgestattet sind, recht praktisch, wenn man an der eigenen Webseite kleine Aktualisierungen vornehmen will - ein vollwertiger FTP-Client ist dann nicht nötig.

Stellenmarkt
  1. Bayerisches Landesamt für Steuern, Nürnberg, München
  2. IT2media GmbH & Co. KG, Nürnberg, Leipzig, München

Die Behandlung von HTML-Dateien durch den Internet Explorer weist jedoch ein mehr als merkwürdiges Verhalten auf, das zu fatalen Sicherheitslücken führen kann. Ist man auf einem Server per FTP eingeloggt und klickt in der Verzeichnisstruktur eine HTML-Datei doppelt an, so öffnet sie sich wie bei einem gewöhnlichen Browser. Klickt man dann jedoch auf "Datei / Speichern unter", so landet die Webseite mitsamt der vollständigen FTP-URL auf der lokalen Festplatte. In der HTML-Datei findet sich dann eine Zeile der Art:

<!-- saved from url=(0096)ftp://admin:root@ftp.server.com/verzeichnis/datei.html -->

HTML-Quelltext mit FTP-Passwort
HTML-Quelltext mit FTP-Passwort
Lädt man diese Datei anschließend wieder per FTP auf den Server, so stehen in der HTML-Datei stets der Benutzername und das Passwort des Servers. Die Informationen sind, für normale Websurfer unsichtbar, im Quelltext der HTML-Seite eingebettet. Ein Blick in den Seiten-Quelltext zeigt aber die Daten an. Auch Webserver durch Skripte automatisiert nach FTP-Daten durchsuchen zu lassen ist denkbar.

In der Praxis erscheint das folgende Szenario durchaus als realistisch: Man hat auf dem heimischen FTP-Server, der nur als Zugriff auf die eigenen Arbeiten dient, eine HTML-Datei gespeichert, die beispielsweise eine selbst geschriebene Webanwendung enthält. Diese Datei öffnet man bei einem Bekannten oder einem Kunden per IE6, um sie auf Funktion zu prüfen, und speichert sie dann lokal. Unbesehen lädt man sie auf den Webserver des Kunden oder seines Freundes - und dort stehen dann die Zugangsdaten für den eigenen FTP-Server, bis jemand den Fehler bemerkt.

In der Redaktion von Golem.de ließ sich dieses Verhalten mit einem aktuell gepatchten IE6 unter Windows XP nachvollziehen. Das Problem tritt jedoch nicht auf, wenn man die Datei noch in der FTP-Ansicht nach einem Rechtsklick mit "In Ordner kopieren" auf die lokale Festplatte überträgt. Die Datei muss, damit die URL eingebettet wird, per Doppelklick geöffnet und erst dann gespeichert werden. Der Effekt scheint also aufzutreten, wenn der IE6 von der FTP- zur Browser-Ansicht wechselt.

Auf die Sicherheitslücke wies zuerst Brian Krebs von der Washington Post in seinem Blog hin. Getreu dem Motto "It's not a bug, it's a feature" erklärte dem Kolumnisten der einflussreichen US-Tageszeitung gegenüber Microsoft, dieses Verhalten des Browsers sei durchaus so gewünscht. Der FTP-Zugang werde gespeichert, weil er Teil der URL der heruntergeladenen Datei sei. Damit diese später in derselben Sicherheitszone des Browsers geöffnet würde, sei dies notwendig. Außerdem, so Microsoft weiter, sei der Internet Explorer nicht als vollwertiger FTP-Client gedacht, die Funktion sei nur "zur Bequemlichkeit" vorhanden.

Wie Brian Krebs berichtet, erhielt er am Rande der Sicherheitskonferenz "Def Con" einen Tipp zu der Lücke. Die Quelle des Journalisten hat Krebs zufolge bereits 2004 Microsoft auf das Problem hingewiesen. Damals erhielt der Mann die Antwort, man müsse den Browser komplett umschreiben, um das Verhalten abzustellen. Das Problem ist aber auch noch im Internet Explorer 7 zu finden. Offenbar besteht seitens Microsoft keine Absicht, dieses Verhalten des Browsers zu ändern, so dass man beim Speichern von HTML-Dokumenten via FTP gründlich aufpassen muss - und am besten gleich die eigenen Webseiten überprüft, wenn man den IE für FTP-Operationen benutzt hat. Auch das Sicherheitsunternehmen Secunia stuft in einem Bulletin das Verhalten des IE als "Schwachstelle" ein.



Anzeige
Blu-ray-Angebote
  1. (nur für Prime-Mitglieder)

smalltalk 15. Aug 2007

Konqueror : Dateiverwaltung WEB-Browser FTP-Client SFTP-Client Samba-Client Leseprogramm...

Forkbome 15. Aug 2007

Auch mit lynx? :)

Tenschman 14. Aug 2007

Vllt weil die Entwickler genau das getan haben, was man mit .net vermeiden will? Code...

RaiseLee 14. Aug 2007

Haha, golems ihr habt euren FTP gerade offen gelegt, admin als benutzer und root als...

admin:root 14. Aug 2007

...die meine Account-Daten und mein geheimes Passwort :)


Folgen Sie uns
       


Blackberry Key 2 - Hands on

Das Key2 ist das Nachfolgemodell des Keyone. Das Grundprinzip ist gleich. Im unteren Gehäuseteil gibt es eine fest verbaute Hardware-Tastatur. Darüber befindet sich ein Display im 3:2-Format. Das Schreiben auf der Tastatur ist angenehm. Im Juli 2018 kommt das Key2 zum Preis von 650 Euro auf den Markt.

Blackberry Key 2 - Hands on Video aufrufen
Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  2. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht
  3. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis

Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  2. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018
  3. Always Connected PCs Vielversprechender Windows-RT-Nachfolger mit Fragezeichen

Garmin Fenix 5 Plus im Test: Mit Musik ins unbekannte Land
Garmin Fenix 5 Plus im Test
Mit Musik ins unbekannte Land

Kopfhörer ins Ohr und ab zum Joggen, Rad fahren oder zum nächsten Supermarkt spazieren - ohne Smartphone: Mit der Sport-Smartwatch Fenix 5 Plus von Garmin geht das. Beim Test haben wir uns zwar im Wegfindungsmodus verlaufen, sind von den sonstigen Navigationsoptionen aber begeistert.
Ein Test von Peter Steinlechner

  1. Garmin im Hands on Alle Fenix 5 Plus bieten Musik und Offlinenavigation

    •  /