Copyrightvorbehalt

Die Seite, die Sie soeben lesen, enthält nicht das Original der Arbeit, sondern stellt einen mirror/download zu Dokumentationszwecken im Rahmen der wissenschaftlichen Untersuchung

Stangl, Werner (1998). internet in der Schule - Eine Bestandsaufnahme über den Einsatz des internet im Unterricht an Österreichs Schulen. p@psych 3.
WWW: http://paedpsych.jk.uni-linz.ac.at/PAEDPSYCH/NETSCHULE/NetSchule.html (YY-MM-DD)

dar. Damit soll den userInnen die Nachprüfbareit der Originalquellen ermöglicht werden, die im internet aufgrund der Dynamik des Entstehens und Vergehens von pages selten möglich ist. Das Original findet sich unter der jeweils angegebenen WWW-Adresse; eventuell vorhandene lokale links wurden entfernt. (WS)

---

Achtung! Beim Zugang zum World Wide Web gefährden viele Programmier- und sonstige Fehler in verschiedenen WWW-Programmen die Sicherheit Ihrer Daten!

---

Diese Informationen, Hinweise und Zitate sind nach bestem Wissen und Gewissen zusammengestellt, trotzdem sind Irrtümer, Fehler, Missverständnisse, Unvollständigkeiten und unentdeckte Gefahrenquellen nie ganz auszuschließen.

---

Stand: 30.11.1998, 13.40 Uhr.

Ich bin es leid, alle zwei Tage oder noch häufiger neue Fehlermeldungen schlimmster Art über die WWW-Programme Netscape Navigator/Communicator und Microsoft Internet Explorer und über die zugehörigen E-Mail-Komponenten in diese Seite einzuarbeiten. Trotzdem bin ich gezwungen, damit fortzufahren, weil immer wieder neue Fehler entdeckt werden.

Wegen der mittlerweile unübersehbar vielen Fehler in diesen Programmen (dabei meine ich nicht die Beta-Versionen!) und wegen der offensichtlichen Unfähigkeit der Firmen Netscape und Microsoft, Versionen dieser Programme herauszugeben, in denen nicht nach wenigen Tagen neue schwerwiegende Sicherheitsfehler gefunden werden, kann ich von der Benutzung dieser Programme nur noch dringendst abraten.

Die Fehler in diesen Programmen ermöglichen es Unbefugten alleine schon dadurch, dass Sie

• eine von Angreifern gestaltete WWW-Seite betrachten oder
• eine von Angreifern an Sie geschickte E-Mail anschauen,

je nach Fehler

• NEU: mal Sie zur unerwünschten, ungesicherten Übertragung Ihrer Daten (z. B. Kreditkartennummer) an Dritte zu veranlassen, ohne dass Sie es merken,
• mal bestimmte Dateien Ihres Rechners zu lesen (darunter auch solche mit Passwörtern),
• mal alle Dateien Ihres Rechners zu lesen (darunter auch solche mit Passwörtern),
• mal Ihre Internetnutzung zu protokollieren und so ein Persönlichkeitsprofil von Ihnen zu erstellen,
• mal Ihre sonstige Rechnernutzung teilweise zu protokollieren und so ein noch besseres Persönlichkeitsprofil von Ihnen zu erstellen,
• mal Ihre gesamte Rechnerkonfiguration (mit oder ohne Rückfrage) an die Herstellerfirma zu übermitteln,
• mal Ihre Rechnernutzung sogar vollständig zu protokollieren und so ein perfektes Persönlichkeitsprofil von Ihnen zu erstellen,
• mal bestimmte Dateien Ihres Rechners zu verändern und so ein von Ihnen unerwünschtes Verhalten Ihres Rechners zu veranlassen,
• mal alle Dateien Ihres Rechners zu verändern und so unbrauchbar zu machen oder gar mit Viren zu versehen,
• mal beliebigen Programmcode auszuführen und so vollständige Kontrolle über Ihren Rechner zu erhalten.

Dass diese Fehler nicht nur beim Anschauen von WWW-Seiten, sondern schon beim Anschauen böswillig geschriebener E-Mails wirken, setzt Sie gezielten Angriffen aus!

Die meisten Probleme entstehen durch Programmierfehler der Hersteller. Einige Probleme muss ich jedoch als vorsätzlich geschaffen betrachten: Cookies, ActiveX, SmartBrowsing usw.

Nicht verwenden sollten Sie folgende Versionen folgender Programme:

• Sämtliche Beta- oder Preview-Version sämtlicher Programme
• Netscape Navigator ab Version 2.0
• Netscape Communicator ab Version 4.0
• Microsoft Internet Explorer
• Sun HotJava Version 1.0

Wenn Sie sich trotz dieser Warnung gezwungen sehen, eines dieser Programme zu verwenden, beachten Sie wenigstens folgende Hinweise:

• NEU: Wenn Sie beabsichtigen, persönliche Daten in Formulare eintragen (z. B. Online-Banking, elektronische Bestellungen, Passwörter etc.): Öffnen Sie nur ein einziges WWW-Fenster! (Wenn Sie in der laufenden Sitzung bereits mehrere WWW-Fenster geöffnet hatten, beenden Sie das WWW-Programm vollständig und starten Sie es mit nur einem Fenster neu!)
• Beachten Sie alle Sicherheitshinweise des jeweiligen Herstellers (z. B. Netscape, Microsoft, Sun usw.)!
• Deaktivieren Sie zusätzlich alle Komponenten, in denen schon Sicherheitsprobleme gefunden wurden und in denen man aufgrund der bisherigen Erfahrungen weitere Fehler vermuten muss:
  • Speichern Sie keine Passwörter ab!
  • Deaktivieren Sie ActiveX vollständig!
  • Deaktivieren Sie JavaScript vollständig!
  • Dazu müssen Sie JavaScript nach jedem Programmstart explizit ein- und wieder ausschalten!
  • NEU: Deaktivieren Sie VBScript vollständig!
  • Deaktivieren Sie Java!
  • Installieren Sie keine Plugins!
  • Deaktivieren Sie das automatische Installieren von Plugins!
  • Deaktivieren Sie Cookies soweit es geht!
  • Schalten Sie Ihren lokalen Diskcache aus (Größe 0)!
  • Schalten Sie Ihren lokalen Memorycache aus (Größe 0)!
  • Schalten Sie alle verfügbaren Warnmeldungen ein!
  • Antworten Sie auf alle Rückfragen, ob Plugins installiert oder Daten nach außen transferiert werden sollen, mit »Nein«!
  • Legen Sie sich eine Sicherungskopie Ihrer Konfigurationsdatei ein, nachdem Sie alle obigen Einstellungen vorgenommen haben, und kopieren Sie diese Kopie bei jedem Programmstart an den Originalplatz zurück!
  • Löschen Sie vor jedem Programmstart die Datei, in der die Cookies abgespeichert werden!

  Durch diese Maßnahmen können Sie die meisten, aber bei weitem nicht alle Sicherheitsprobleme entschärfen.
  Mir ist bewusst, dass bei Beachten all dieser Hinweise die Programme manche WWW-Seiten nicht mehr anzeigen werden. Das gilt genauso bei Verwendung eines alternativen Browsers, siehe nächsten Abschnitt.

Sie sollten überlegen, ob es für Sie sinnvoll ist, auf eines der vielen anderen, teilweise frei verfügbaren WWW-Browser umzusteigen. Diese anderen Programme bieten Ihnen zwar vielleicht nicht die Vielfalt an Komponenten und Möglichkeiten, die Ihnen von den aktuellen Programmen der Marktführer geboten werden, doch werden Sie die fehlenden Komponenten und Möglichkeiten in aller Regel überhaupt nicht benötigen. Jedenfalls können Angreifer keine Fehler in Komponenten ausnutzen, wenn die Komponenten überhaupt nicht vorhanden sind.

An dieser Stelle sei eine Liste mit Alternativen genannt. Die Liste erhebt keinen Anspruch auf Vollständigkeit. Bei den mit (!) markierten Produkten sind mir die oben oder unten beschriebenen Sicherheitsprobleme bekannt. Das heißt jedoch nicht, dass die anderen, mit (+) markierten Produkte nicht auch Sicherheitsprobleme enthalten könnten, es sind mir nur keine bekannt. NEU: Sie sollten daher selbst mit diesen Browsern die obigen Vorsichtsmaßnahmen durchführen.

• (+) Opera Version 3 (WWW-Server der Firma Opera in Norwegen, Download von niederländischem Server möglich)
• (+) Amaya Version 1 (WWW-Server des World-Wide-Web-Konsortiums)
• (+) Lynx Version 2 (FTP-Server der Uni Mageburg; Spiegel des FTP-Servers der University of Kansas)
• (+) QNX Internet Appliance Toolkit Demo
• (+) Netscape Navigator Version 1 (FTP-Server der Uni Paderborn)
• (!) Netscape Navigator Version 2 (FTP-Server der Uni Paderborn)
• (!) Netscape Navigator Version 3 (FTP-Server der Uni Paderborn)
• (!) Netscape Communicator Version 4 (FTP-Server der RWTH Aachen, Offizieller Spiegel des FTP-Servers der Firma Netscape)
• (!) Microsoft Internet Explorer Versionen 3 und 4 (WWW-Server der Firma Microsoft, Download von deutschem Server möglich)
• (!) Sun Microsystems HotJava Version 1 (WWW-Server der Firma Sun Microsystems)
• (siehe auch hier in den WWW-FAQ)
• (Die Liste wird fortgesetzt, Hinweise sind willkommen.)

Hier einige unsortierte Quellenangaben, auf die ich in letzter Zeit hingewiesen wurde; vereinfacht nenne ich die Firmennamen anstelle der Programmbezeichnungen:

• NEU: Weiterer Bug in der Kombination von JavaScript und Java in Netscape 4
• NEU: Weiterer JScript/VBScript-Bug in Microsoft 4
• NEU: Bei mehreren gleichzeitig geöffneten WWW-Fenstern können die Inhalte eines Fensters die Inhalte der anderen Fenster ändern
• NEU: VBScript in Microsoft ermöglicht eine völlig neue Art von Viren
• JavaScript-Programmfehler in Netscape 4 und

  
  Falsche Anzeige, ob JavaScript eingeschaltet ist, in Netscape 4.5 und
  Programmfehler setzt Nutzereinstellungen auf unsichere Defaults zurück in Netscape 4

• Übermäßige Datenübermittlung an den Hersteller nach Absturz und Rückfrage in Netscape 4.5
• Programmfehler in Netscape 4.5 mit SSL
• Vorsätzliches (?) Ausspionieren in Netscape ab 4.06
• Programmierfehler in Netscape ab 3.0
• Verschiedene Programmierfehler in Netscape und Microsoft
• Verschiedene Programmierfehler in Microsoft
• JavaScript-Programmierfehler in Netscape ab 3
• JavaScript-Programmierfehler in Netscape ab 3
• Programmierfehler in Microsoft 4
• JScript-Programmierfehler in Microsoft 4
• Java-Programmierfehler in Netscape 4
• Verschiedene Java-Programmierfehler in Netscape, Microsoft und Sun
• ActiveX von Microsoft ist ein einziges Sicherheitsrisiko

Es folgt alter Text, der bei der Menge der Fehler nur noch sehr unvollständig sein kann.

Bekannte Probleme

Wenn die folgenden Beschreibungen sehr konfus wirken, hat dies schon seinen Grund: Eine übersichtliche Zusammenstellung der vielen Fehler ist mir nicht mehr möglich!

Netscape Communicator, Microsoft Outlook 98, Microsoft Outlook Express

Die E-Mail-Komponenten von Netscape Communicator (bis mindestens 4.05) und von Outlook 98 und Outlook Express (zu Versionsangaben siehe obige Bemerkung) enthalten Sicherheitsprobleme, die es Unbefugten ermöglichen, beliebige Dateien, auf die Sie zugreifen dürfen, an Dritte weiterzugeben, zu zerstören oder zu ändern, also auch mit Viren zu versehen, und das nur dadurch, dass Sie eine E-Mail ansehen. (Quelle und) Weitere Informationen hierzu: http://browserwatch.internet.com/news/story/news-980727-7.html, http://browserwatch.internet.com/news/story/news-980727-8.html, Microsoft Security Bulletin (MS98-008), Netscape Security Note.

LiveConnect:

Der Fehler in der LiveConnect-Implementierung in einigen Versionen des Netscape Communicator ermöglicht es Unbefugten, alle Aktionen des Nutzers (welche Seiten er aufruft, was er in Formulare einträgt, welche Daten in Cookies gespeichert sind usw.) ohne sein Wissen zu verfolgen. Dieses Problem ist nur durch Umsteigen auf neuere Versionen zu beheben.

JavaScript:

Die verschiedenen Fehler in den JavaScript-Implementierungen in etlichen (teilweise auch sehr neuen) Versionen der WWW-Browser von Netscape, Microsoft und anderen Herstellen ermöglichen es Unbefugten, alle Aktionen des Nutzers (welche Seiten er aufruft, was er in Formulare einträgt, welche Daten in Cookies gespeichert sind usw.) ohne sein Wissen zu verfolgen. Diese Probleme können, falls vom Programm vorgesehen, durch Deaktivierung von JavaScript umgangen werden. 

Netscape:

Alle Versionen 2.* sowie die Versionen 3.0, 3.01 (vielleicht auch 3.02) und 4.0 des Netscape Navigator bzw. Communicator enthalten ein Sicherheitsproblem, durch welches beim Ansehen böswillig geschriebener WWW-Seiten beliebige Dateien, für die Sie Lesezugriff besitzen, an Dritte weitergegeben werden, vorausgesetzt, der Dateiname ist bekannt oder wurde erraten. Diese Probleme sind nur durch Umsteigen auf neuere Versionen zu beheben.

Die Versionen 4.0 bis 4.04 des Netscape Communicator enthalten ein Sicherheitsproblem, durch welches beim Ansehen böswillig geschriebener WWW-Seiten die Einstellungsdatei des Netscape Communicator an Dritte weitergegeben werden. Diese Einstellungsdatei enthält unter Ihre E-Mail-Adressen und andere persönliche Daten sowie, falls entsprechend eingestellt, auch Ihr Login-Passwort!

 Die Versionen 4.0 bis 4.05 des Netscape Communicator enthalten zwei Fehler in der Java-Implementierung, deren Zusammentreffen es Unbefugten ermöglicht, beliebige Dateien, auf die Sie zugreifen dürfen, an Dritte weiterzugeben, zu zerstören oder zu ändern, also auch mit Viren zu versehen. Dieses Problem ist durch Deaktivieren von Java zu umgehen. Weitere Informationen zu diesem Bug finden Sie unter http://www.cs.princeton.edu/sip/History.html.

 Zum Fehler in Version 4.06 siehe http://www.heise.de/newsticker/data/ju-20.08.98-000/

 Zu Fehlern in Version 4.0 bis 4.07 siehe http://www.shout.net/~nothing/cache-cow/index.html und http://www.news.com/News/Item/0,4,26875,00.html?st.ne.fd.gif.e, diese Fehler ermöglichen es Unbefugten, alle lokal zwischengespeicherten Seiten und alle Cookies zu lesen (diese Daten enthalten u. U. Passwörter!), ein weiterer Fehler (siehe http://www.shout.net/~nothing/buffer-overflow-1/index.html) erlaubt sogar Unbefugten, beliebigen Programmcode auszuführen, also beliebige Dateien, auf die Sie zugreifen dürfen, an Dritte weiterzugeben, zu zerstören oder zu ändern, also auch mit Viren zu versehen, also vollständige Kontrolle über Ihren Rechner zu erhalten.

Microsoft:

Die verbreiteten Versionen 2.0 bis 4.01 SP1 (selbst mit den ersten Patches) des Microsoft Internet Explorers enthalten verschiedene massive, von der Konfiguration unabhängige Sicherheitsprobleme, von denen einige es Unbefugten ermöglichen, beliebige Dateien, auf die Sie zugreifen dürfen, an Dritte weiterzugeben, zu zerstören oder zu ändern, also auch mit Viren zu versehen, also vollständige Kontrolle über Ihren Rechner zu erhalten. Einige dieser Fehler entstanden bei Microsofts Versuch, das World Wide Web und lokale Systemkomponenten unter Windows ineinander zu integrieren, bei dem unter Umständen gewissen Daten aus dem World Wide Web fälschlicherweise ähnliches Vertrauen auf Seriösität wie lokalen Daten eingeräumt wurde. Folglich konnte der Benutzer beim Anschauen unseriöser WWW-Seiten dazu gebracht werden, ohne Vorwarnung und ahnungslos gefährliche Programme auszuführen. Diese Probleme sind nur durch Umsteigen auf neueste, korrigierte Versionen zu beheben, falls solche schon vorliegen.

 Zu Fehlern in Version 4 und Version 5.Preview siehe http://pages.whowhere.com/computers/cuartangojc/cuartangoh1.html, dieser Fehler ermöglicht es Unbefugten, alle Ihre Dateien zu lesen (diese Daten enthalten u. U. Passwörter!)
 

ActiveX:

Microsoft Internet Explorer und andere Programme mit ActiveX enthalten ebenfalls ein massives, inhärentes Sicherheitsproblem, wenn Sie das Downloading aktiver Inhalte, also von Programmen erlauben, da diese mit voller Kontrolle über Ihren Rechner ablaufen, also wirklich alles machen können. Diese Probleme können, falls vom Programm vorgesehen, durch Deaktivierung von ActiveX bzw. von Download active contents umgangen werden. (Im Vergleich dazu laufen Java-Programme in einer virtuellen Maschine, können also - solange diese virtuelle Maschine sauber programmiert ist - keinen Schaden anrichten.) 

Java:

Viele ältere WWW-Programme mit Java-Unterstützung, aber auch Netscape Navigator/Communicator in den Versionen 4.0 bis 4.05, enthalten massive, sehr verschiedene Sicherheitsprobleme in der virtuellen Java-Maschine, die es Unbefugten ermöglichen, beliebige Dateien, auf die Sie zugreifen dürfen, an Dritte weiterzugeben, zu zerstören oder zu ändern, also auch mit Viren zu versehen. Diese Probleme können durch Umsteigen auf neuere Versionen oder notfalls, falls vom Programm vorgesehen, durch Deaktivierung von Java umgangen werden. Die Arbeitsgruppe Secure Internet Programming an der Princeton University fasst Nachrichten und Neuigkeiten zu Problemen mit Java und einigen anderen Bereichen zusammen.

Cookies:

Ebenfalls personenbezogene Daten können ohne Ihr Einverständnis mit Hilfe von sogenannten Cookies gespeichert und abgerufen werden. Allerdings können nur solcher Daten übertragen werden, die Sie früher schon einmal an die gleiche Stelle übertragen haben. Damit ist allerdings eine Zuordnung zwischen verschiedenen Sitzungen und damit das Anlegen eines Persönlichkeitsprofils möglich. Diese Probleme können meistens nicht umgangen werden. Manche WWW-Programme bieten aber immerhin die Möglichkeit, den Nutzer vor dem Abspeichern eines Cookies zu warnen. Auch werden die Cookies in Dateien auf Ihrem Rechner gespeichert, die Sie vor einem erneuten Aufruf des WWW-Programms löschen können.

Weitere, ausführliche Informationenen zu Cookies finden Sie auf der Kopie einer FAQ-Seite von Compuserve. Das Original finden Sie hier. Zu den auf diesen Seiten genannten Sicherheitsrisiken ist allerdings noch eine unerfreuliche Ergänzung notwendig:

Mittlerweile haben sich viele Firmen in Ringen zusammengeschlossen. Diese Ringe verwenden jeweils eine gemeinsame Komponente auf ihren Seiten, meist in Form von Bildchen, die von einem gemeinsamen zentralen Server geladen werden. Da diese Firmen die Cookies jetzt nicht mit dem Text, sondern mit diesem Bildchen verbinden, haben alle diese Firmen im Ring Zugriff auf alle Informationen, die man irgendwann einmal an eine beliebige dieser Firmen weitergegeben hat. Die Firmen sind so in der Lage, ein perfektes Persönlichkeitsprofil aufbauen!
  

E-Mail und NetNews:

Besonders gefährlich ist bei vielen WWW-Programmen, dass sie JavaScript-, Java- und ActiveX-Programme nicht nur von WWW-Seiten aus starten, sondern auch dann, wenn Sie sich E-Mails oder NetNews-Artikel anschauen, die im HTML-Format geschrieben sind. Damit sind Sie gezielten Angriffen auf Ihre Daten ausgesetzt!

Passwörter:

Sie sollten niemals irgendwelche Passwörter auf Ihrem System abspeichern. Wie das im März 1998 bei T-Online aufgedeckte Sicherheitsloch beweist, können durch Programme, die nach der Methode der Trojanischen Pferde vorgehen, diese Passwörter an Dritte übermittelt werden. Durch verschiedene Programmierfehler können auch die Versionen 4.0 bis 4.04 des Netscape Communicator, die Versionen 4.0 bis 4.01 des Microsoft Internet Explorer sowie auch etliche andere Versionen verschiedener Programme, vor denen oben gewarnt wird, als Trojanische Pferde eingesetzt werden. 

Leichtsinn:

Durch unvorsichtiges Handeln können Sie natürlich noch viele weitere Sicherheitsprobleme schaffen: Beim Einrichten von Helper Applications und Plug-Ins für Ihren WWW-Browser sollten Sie die gleiche Vorsicht wie beim Schutz vor Viren und Trojanischen Pferden walten lassen: Installieren Sie keine Programme und Daten, denen Sie nicht unbedingt vertrauen können. Nur durch die Missachtung dieser Regel durch Hunderte von T-Online-Nutzern konnten die im März 1998 an die Öffentlichkeit getretenen Hacker deren Zugangsdaten ermitteln.

Weitere Informationen zu verschiedenen Problemen finden Sie auf den WWW-Seiten der Hersteller. Folgen Sie dazu den oben eingerichteten Querverweisen.

Zusätzliche Hinweise zu einzelnen Programmen

Netscape Navigator und Communicator

• Schalten Sie alle oben genannten Komponenten aus.
• Löschen Sie vor jeder Sitzung die Datei cookies oder cookie.txt oder ähnlich im Netscape-Verzeichnis.
• Bei manchen Versionen unter manchen Betriebssystemen mag es funktionieren, wenn man die Cookie-Datei mit Schreibschutz versieht oder durch ein gleichnamiges Verzeichnis ersetzt. Andere Versionen stürzen dann aber möglicherweise ab.

Microsoft Internet Explorer

• Bei Version 4.x befolgen Sie bitte die Einstellungshinweise von P. Kolloczek vom DaWIN-Team
• Schalten Sie alle oben genannten Komponenten aus.
• Stellen Sie die Sicherheitseinstellungen auf maximal und schalten Sie zusätzlich von Hand die dann noch nicht eingeschalteten Sicherheitsmaßnahmen ein.
• Löschen Sie vor jeder Sitzung die Datei cookies oder cookie.txt oder ähnlich im Internet-Explorer-Verzeichnis.
• Bei manchen Versionen unter manchen Betriebssystemen mag es funktionieren, wenn man die Cookie-Datei mit Schreibschutz versieht oder durch ein gleichnamiges Verzeichnis ersetzt. Andere Versionen stürzen dann aber möglicherweise ab.