Microsoft: Gefahr für alle Surfer

Microsoft und andere Computerexperten warnen vor einem ernsten Sicherheitsloch im Internet. Die Bedrohung geht vom sogenannten "cross-site-scripting" aus. Betroffen sind Programme aller Hersteller, da das Problem nicht aus den Anwendungen, sondern aus bestimmten Internet-Standards resultiert.

"Verschiedene Elemente von HTML erlauben es, aktive Inhalte (etwa Scriptcode oder Java-Applets) in Web-Dokumente einzubinden" erläutert Dr. Rüdiger Riediger, vom Zentrum für sichere Netzdienste (DFN-CERT). "Diese aktiven Inhalte werden teilweise von Browsern ohne ausreichende Überprüfung der Sicherheitsaspekte ausgeführt."

Cross-Site Scripting ermöglicht es böswilligen Benutzern, ausführbare Programme in den Internet-Sitzungen anderer Surfer zu starten, wenn diese auf einen präparierten Link oder Button klickt. "Durch diese aktiven Inhalte ist der Angreifer unter anderem in der Lage, zwischen dem Klienten und einem Server ausgetauschte Daten auszuspähen oder zu verändern." beschreibt Riediger das Problem und ergänzt: "Dies ist auch bei verschlüsselten Verbindungen (SSL) möglich. Ebenso kann der Angreifer den Rechner des Benutzers zum Zugriff auf ansonsten nicht öffentlich zugängliche Daten missbrauchen."

Das Problem trete vor allem auf, wenn dynamische Webseiten nicht prüfen, ob versteckter Programmcode, der von einem Browser gesendet wird, sicher ist. Und das sei leider "die Regel und nicht die Ausnahme", so Microsoft.

Bis jetzt wurde noch niemand von diesem Sicherheitsloch geschädigt. Das Risiko wird aber als sehr groß eingeschätzt und betrifft eine hohe Zahl an Webseiten.

Das Problem kann nur durch massive Anstrengungen der Web-Designer unter Kontrolle gebracht werden, sagte dazu ein Sprecher des CERT Coordination Center der Carnegie Mellon Universität. Riediger vom deutschen CERT rät den Anwendern, aktive Inhalte abzuschalten. (PC-WELT, 04.02.2000, tro/ kk)