Copyrightvorbehalt

Die Seite, die Sie soeben lesen, enthält nicht das Original der Arbeit, sondern stellt einen mirror/download zu Dokumentationszwecken im Rahmen der wissenschaftlichen Untersuchung

Stangl, Werner (1998). internet in der Schule - Eine Bestandsaufnahme über den Einsatz des internet im Unterricht an Österreichs Schulen. p@psych 3.
WWW: http://paedpsych.jk.uni-linz.ac.at/PAEDPSYCH/NETSCHULE/NetSchule.html (YY-MM-DD)

dar. Damit soll den userInnen die Nachprüfbareit der Originalquellen ermöglicht werden, die im internet aufgrund der Dynamik des Entstehens und Vergehens von pages selten möglich ist. Das Original findet sich unter der jeweils angegebenen WWW-Adresse; eventuell vorhandene lokale links wurden entfernt. (WS)



Westfälische Wilhelms-Universität Münster
WWW-Administration

I regret that I'm not able to offer this page in other languages yet.

Mangelnde Sicherheit von WWW-Programmen


Achtung! Beim Zugang zum World Wide Web gefährden viele Programmier- und sonstige Fehler in verschiedenen WWW-Programmen die Sicherheit Ihrer Daten!


Diese Informationen, Hinweise und Zitate sind nach bestem Wissen und Gewissen zusammengestellt, trotzdem sind Irrtümer, Fehler, Missverständnisse, Unvollständigkeiten und unentdeckte Gefahrenquellen nie ganz auszuschließen.


Stand: 30.11.1998, 13.40 Uhr.

Ich bin es leid, alle zwei Tage oder noch häufiger neue Fehlermeldungen schlimmster Art über die WWW-Programme Netscape Navigator/Communicator und Microsoft Internet Explorer und über die zugehörigen E-Mail-Komponenten in diese Seite einzuarbeiten. Trotzdem bin ich gezwungen, damit fortzufahren, weil immer wieder neue Fehler entdeckt werden.

Wegen der mittlerweile unübersehbar vielen Fehler in diesen Programmen (dabei meine ich nicht die Beta-Versionen!) und wegen der offensichtlichen Unfähigkeit der Firmen Netscape und Microsoft, Versionen dieser Programme herauszugeben, in denen nicht nach wenigen Tagen neue schwerwiegende Sicherheitsfehler gefunden werden, kann ich von der Benutzung dieser Programme nur noch dringendst abraten.

Die Fehler in diesen Programmen ermöglichen es Unbefugten alleine schon dadurch, dass Sie

je nach Fehler

Dass diese Fehler nicht nur beim Anschauen von WWW-Seiten, sondern schon beim Anschauen böswillig geschriebener E-Mails wirken, setzt Sie gezielten Angriffen aus!

Die meisten Probleme entstehen durch Programmierfehler der Hersteller. Einige Probleme muss ich jedoch als vorsätzlich geschaffen betrachten: Cookies, ActiveX, SmartBrowsing usw.

Nicht verwenden sollten Sie folgende Versionen folgender Programme:

Wenn Sie sich trotz dieser Warnung gezwungen sehen, eines dieser Programme zu verwenden, beachten Sie wenigstens folgende Hinweise:

Sie sollten überlegen, ob es für Sie sinnvoll ist, auf eines der vielen anderen, teilweise frei verfügbaren WWW-Browser umzusteigen. Diese anderen Programme bieten Ihnen zwar vielleicht nicht die Vielfalt an Komponenten und Möglichkeiten, die Ihnen von den aktuellen Programmen der Marktführer geboten werden, doch werden Sie die fehlenden Komponenten und Möglichkeiten in aller Regel überhaupt nicht benötigen. Jedenfalls können Angreifer keine Fehler in Komponenten ausnutzen, wenn die Komponenten überhaupt nicht vorhanden sind.

An dieser Stelle sei eine Liste mit Alternativen genannt. Die Liste erhebt keinen Anspruch auf Vollständigkeit. Bei den mit (!) markierten Produkten sind mir die oben oder unten beschriebenen Sicherheitsprobleme bekannt. Das heißt jedoch nicht, dass die anderen, mit (+) markierten Produkte nicht auch Sicherheitsprobleme enthalten könnten, es sind mir nur keine bekannt. NEU: Sie sollten daher selbst mit diesen Browsern die obigen Vorsichtsmaßnahmen durchführen.

Hier einige unsortierte Quellenangaben, auf die ich in letzter Zeit hingewiesen wurde; vereinfacht nenne ich die Firmennamen anstelle der Programmbezeichnungen:

Es folgt alter Text, der bei der Menge der Fehler nur noch sehr unvollständig sein kann.

Bekannte Probleme

Wenn die folgenden Beschreibungen sehr konfus wirken, hat dies schon seinen Grund: Eine übersichtliche Zusammenstellung der vielen Fehler ist mir nicht mehr möglich!

Netscape Communicator, Microsoft Outlook 98, Microsoft Outlook Express
Die E-Mail-Komponenten von Netscape Communicator (bis mindestens 4.05) und von Outlook 98 und Outlook Express (zu Versionsangaben siehe obige Bemerkung) enthalten Sicherheitsprobleme, die es Unbefugten ermöglichen, beliebige Dateien, auf die Sie zugreifen dürfen, an Dritte weiterzugeben, zu zerstören oder zu ändern, also auch mit Viren zu versehen, und das nur dadurch, dass Sie eine E-Mail ansehen. (Quelle und) Weitere Informationen hierzu: http://browserwatch.internet.com/news/story/news-980727-7.html, http://browserwatch.internet.com/news/story/news-980727-8.html, Microsoft Security Bulletin (MS98-008), Netscape Security Note.
LiveConnect:
Der Fehler in der LiveConnect-Implementierung in einigen Versionen des Netscape Communicator ermöglicht es Unbefugten, alle Aktionen des Nutzers (welche Seiten er aufruft, was er in Formulare einträgt, welche Daten in Cookies gespeichert sind usw.) ohne sein Wissen zu verfolgen. Dieses Problem ist nur durch Umsteigen auf neuere Versionen zu beheben.
JavaScript:
Die verschiedenen Fehler in den JavaScript-Implementierungen in etlichen (teilweise auch sehr neuen) Versionen der WWW-Browser von Netscape, Microsoft und anderen Herstellen ermöglichen es Unbefugten, alle Aktionen des Nutzers (welche Seiten er aufruft, was er in Formulare einträgt, welche Daten in Cookies gespeichert sind usw.) ohne sein Wissen zu verfolgen. Diese Probleme können, falls vom Programm vorgesehen, durch Deaktivierung von JavaScript umgangen werden. 
Netscape:
Alle Versionen 2.* sowie die Versionen 3.0, 3.01 (vielleicht auch 3.02) und 4.0 des Netscape Navigator bzw. Communicator enthalten ein Sicherheitsproblem, durch welches beim Ansehen böswillig geschriebener WWW-Seiten beliebige Dateien, für die Sie Lesezugriff besitzen, an Dritte weitergegeben werden, vorausgesetzt, der Dateiname ist bekannt oder wurde erraten. Diese Probleme sind nur durch Umsteigen auf neuere Versionen zu beheben.

Die Versionen 4.0 bis 4.04 des Netscape Communicator enthalten ein Sicherheitsproblem, durch welches beim Ansehen böswillig geschriebener WWW-Seiten die Einstellungsdatei des Netscape Communicator an Dritte weitergegeben werden. Diese Einstellungsdatei enthält unter Ihre E-Mail-Adressen und andere persönliche Daten sowie, falls entsprechend eingestellt, auch Ihr Login-Passwort!

 Die Versionen 4.0 bis 4.05 des Netscape Communicator enthalten zwei Fehler in der Java-Implementierung, deren Zusammentreffen es Unbefugten ermöglicht, beliebige Dateien, auf die Sie zugreifen dürfen, an Dritte weiterzugeben, zu zerstören oder zu ändern, also auch mit Viren zu versehen. Dieses Problem ist durch Deaktivieren von Java zu umgehen. Weitere Informationen zu diesem Bug finden Sie unter http://www.cs.princeton.edu/sip/History.html.

 Zum Fehler in Version 4.06 siehe http://www.heise.de/newsticker/data/ju-20.08.98-000/

 Zu Fehlern in Version 4.0 bis 4.07 siehe http://www.shout.net/~nothing/cache-cow/index.html und http://www.news.com/News/Item/0,4,26875,00.html?st.ne.fd.gif.e, diese Fehler ermöglichen es Unbefugten, alle lokal zwischengespeicherten Seiten und alle Cookies zu lesen (diese Daten enthalten u. U. Passwörter!), ein weiterer Fehler (siehe http://www.shout.net/~nothing/buffer-overflow-1/index.html) erlaubt sogar Unbefugten, beliebigen Programmcode auszuführen, also beliebige Dateien, auf die Sie zugreifen dürfen, an Dritte weiterzugeben, zu zerstören oder zu ändern, also auch mit Viren zu versehen, also vollständige Kontrolle über Ihren Rechner zu erhalten.

Microsoft:
Die verbreiteten Versionen 2.0 bis 4.01 SP1 (selbst mit den ersten Patches) des Microsoft Internet Explorers enthalten verschiedene massive, von der Konfiguration unabhängige Sicherheitsprobleme, von denen einige es Unbefugten ermöglichen, beliebige Dateien, auf die Sie zugreifen dürfen, an Dritte weiterzugeben, zu zerstören oder zu ändern, also auch mit Viren zu versehen, also vollständige Kontrolle über Ihren Rechner zu erhalten. Einige dieser Fehler entstanden bei Microsofts Versuch, das World Wide Web und lokale Systemkomponenten unter Windows ineinander zu integrieren, bei dem unter Umständen gewissen Daten aus dem World Wide Web fälschlicherweise ähnliches Vertrauen auf Seriösität wie lokalen Daten eingeräumt wurde. Folglich konnte der Benutzer beim Anschauen unseriöser WWW-Seiten dazu gebracht werden, ohne Vorwarnung und ahnungslos gefährliche Programme auszuführen. Diese Probleme sind nur durch Umsteigen auf neueste, korrigierte Versionen zu beheben, falls solche schon vorliegen.

 Zu Fehlern in Version 4 und Version 5.Preview siehe http://pages.whowhere.com/computers/cuartangojc/cuartangoh1.html, dieser Fehler ermöglicht es Unbefugten, alle Ihre Dateien zu lesen (diese Daten enthalten u. U. Passwörter!)
 

ActiveX:
Microsoft Internet Explorer und andere Programme mit ActiveX enthalten ebenfalls ein massives, inhärentes Sicherheitsproblem, wenn Sie das Downloading aktiver Inhalte, also von Programmen erlauben, da diese mit voller Kontrolle über Ihren Rechner ablaufen, also wirklich alles machen können. Diese Probleme können, falls vom Programm vorgesehen, durch Deaktivierung von ActiveX bzw. von Download active contents umgangen werden. (Im Vergleich dazu laufen Java-Programme in einer virtuellen Maschine, können also - solange diese virtuelle Maschine sauber programmiert ist - keinen Schaden anrichten.) 
Java:
Viele ältere WWW-Programme mit Java-Unterstützung, aber auch Netscape Navigator/Communicator in den Versionen 4.0 bis 4.05, enthalten massive, sehr verschiedene Sicherheitsprobleme in der virtuellen Java-Maschine, die es Unbefugten ermöglichen, beliebige Dateien, auf die Sie zugreifen dürfen, an Dritte weiterzugeben, zu zerstören oder zu ändern, also auch mit Viren zu versehen. Diese Probleme können durch Umsteigen auf neuere Versionen oder notfalls, falls vom Programm vorgesehen, durch Deaktivierung von Java umgangen werden. Die Arbeitsgruppe Secure Internet Programming an der Princeton University fasst Nachrichten und Neuigkeiten zu Problemen mit Java und einigen anderen Bereichen zusammen.
Cookies:
Ebenfalls personenbezogene Daten können ohne Ihr Einverständnis mit Hilfe von sogenannten Cookies gespeichert und abgerufen werden. Allerdings können nur solcher Daten übertragen werden, die Sie früher schon einmal an die gleiche Stelle übertragen haben. Damit ist allerdings eine Zuordnung zwischen verschiedenen Sitzungen und damit das Anlegen eines Persönlichkeitsprofils möglich. Diese Probleme können meistens nicht umgangen werden. Manche WWW-Programme bieten aber immerhin die Möglichkeit, den Nutzer vor dem Abspeichern eines Cookies zu warnen. Auch werden die Cookies in Dateien auf Ihrem Rechner gespeichert, die Sie vor einem erneuten Aufruf des WWW-Programms löschen können.

Weitere, ausführliche Informationenen zu Cookies finden Sie auf der Kopie einer FAQ-Seite von Compuserve. Das Original finden Sie hier. Zu den auf diesen Seiten genannten Sicherheitsrisiken ist allerdings noch eine unerfreuliche Ergänzung notwendig:

Mittlerweile haben sich viele Firmen in Ringen zusammengeschlossen. Diese Ringe verwenden jeweils eine gemeinsame Komponente auf ihren Seiten, meist in Form von Bildchen, die von einem gemeinsamen zentralen Server geladen werden. Da diese Firmen die Cookies jetzt nicht mit dem Text, sondern mit diesem Bildchen verbinden, haben alle diese Firmen im Ring Zugriff auf alle Informationen, die man irgendwann einmal an eine beliebige dieser Firmen weitergegeben hat. Die Firmen sind so in der Lage, ein perfektes Persönlichkeitsprofil aufbauen!
  

E-Mail und NetNews:
Besonders gefährlich ist bei vielen WWW-Programmen, dass sie JavaScript-, Java- und ActiveX-Programme nicht nur von WWW-Seiten aus starten, sondern auch dann, wenn Sie sich E-Mails oder NetNews-Artikel anschauen, die im HTML-Format geschrieben sind. Damit sind Sie gezielten Angriffen auf Ihre Daten ausgesetzt!
Passwörter:
Sie sollten niemals irgendwelche Passwörter auf Ihrem System abspeichern. Wie das im März 1998 bei T-Online aufgedeckte Sicherheitsloch beweist, können durch Programme, die nach der Methode der Trojanischen Pferde vorgehen, diese Passwörter an Dritte übermittelt werden. Durch verschiedene Programmierfehler können auch die Versionen 4.0 bis 4.04 des Netscape Communicator, die Versionen 4.0 bis 4.01 des Microsoft Internet Explorer sowie auch etliche andere Versionen verschiedener Programme, vor denen oben gewarnt wird, als Trojanische Pferde eingesetzt werden. 
Leichtsinn:
Durch unvorsichtiges Handeln können Sie natürlich noch viele weitere Sicherheitsprobleme schaffen: Beim Einrichten von Helper Applications und Plug-Ins für Ihren WWW-Browser sollten Sie die gleiche Vorsicht wie beim Schutz vor Viren und Trojanischen Pferden walten lassen: Installieren Sie keine Programme und Daten, denen Sie nicht unbedingt vertrauen können. Nur durch die Missachtung dieser Regel durch Hunderte von T-Online-Nutzern konnten die im März 1998 an die Öffentlichkeit getretenen Hacker deren Zugangsdaten ermitteln.

Weitere Informationen zu verschiedenen Problemen finden Sie auf den WWW-Seiten der Hersteller. Folgen Sie dazu den oben eingerichteten Querverweisen.

Zusätzliche Hinweise zu einzelnen Programmen

Netscape Navigator und Communicator

Microsoft Internet Explorer


Quelle:  http://www.uni-muenster.de/WWW/Sicherheit.html