16162

Web.de-Bug: Die Details

28.06.2000 | 10:06 Uhr |

Die genaueren Umstände der Sicherheitslücke bei Web.de sind nun bekannt. Es war bis Freitag Abend möglich, durch die sogenannte Referrer-URL Zugriff auf die Mailkonten von Web.de-Kunden zu bekommen. Der De-Referrer, der das hätte verhindern sollen, war möglicherweise seit seiner Installation im Jahr 1998 defekt.

Die genaueren Umstände der Sicherheitslücke bei Web.de sind nun genauer bekannt. Es war bis Freitag Abend möglich, durch die sogenannte Referrer-URL Zugriff auf die Mailkonten von Web.de-Kunden zu bekommen. Die Referrer-URL wird in den Log-Files einer Internetseite verzeichnet, sobald ein Kunde die Seite aufruft. Sie gibt an, von welcher anderen Internetseite der Besucher dorthin verwiesen wurde. Der Webmaster der Zielseite kann die Referrer-URL des Besuchers dann in den Log-Files erkennen.

Bei einigen Webmail-Diensten wurde nun das Webmail-Fenster des Kunden als Referrer-URL angegeben, wenn der User direkt von dort auf eine andere Internetseite surfte. In dieser URL ist aus technischen Gründen der Login-Name und das Passwort des Kunden vermerkt. Ein Sitebetreiber mit Zugriff auf Logfiles konnte beides so in Erfahrung bringen. Mit einem De-Referer lassen sich Passwort und Loginname aber von Seiten des Webmail-Dienstes verschleiern.

Bei web.de wurden Passwort und Benutzername nach Auskunft der Firma nicht angezeigt, dafür aber die Session-ID. Diese Nummer wird jedesmal neu vergeben, wenn sich ein Kunde einloggt. Solange er sich wieder ausloggte, verlor die Nummer ihre Gültigkeit, und damit ihren Wert als Mittel für unlautere Manipulationen durch einen Hacker.

"Es war seit Start der Site 1998 bereits ein De-Referer installiert, der die Sicherheitslücke gar nicht erst hätte entstehen lassen", so Eva Vennemann, Pressesprecherin bei Web.de gegenüber der PC-WELT. "Für Mails im Textformat tat er auch gute Dienste, nur der De-Referer für HTML-Mails war defekt". Laut der Unternehmenssprecherin wurde am Freitag Abend die Presse von einem Web.de-Kunden über diesen Bug informiert. Die Techniker des Webmail-Anbieters hätten das Problem innerhalb von zwei Stunden nachdem sie davon erfahren haben behoben.

Die Sicherheitslücke bestand laut Auskunft von Web.de nur für einen Teil der Kunden, abhängig vom benutzen Mailprogramm. Outlook Express gehörte zu den unsicheren Programmen, Netscape Mail zu den sicheren. Es sind keine Fälle bekannt, in denen die Sicherheitslücke mit kriminellen oder bösartigen Absichten ausgenutzt worden wäre. (PC-WELT, 27.06.2000, meh)

Web.de schließt Sicherheitsloch (PC-WELT Online, 26.06.2000)

0 Kommentare zu diesem Artikel
16162