IE-Sicherheitsleck: URL-Spoofing und wie ich es erkenne

Skill 2
Skill 2

Skill 2

Diese kürzlich (Stand 12/2003) entdeckte und noch nicht gefixte Sicherheitslücke im Intrernet Explorer ermöglicht es Internet-Explorer-Nutzern falsche URLs (Internetadressen) unterzuscheiben, ohne das diese es merken.

Internetadressen können generell mit einem Benutzernamen kombinert werden (z.B. user@www.webmacherfaq.de). Hier sitzt der Schwachpunkt: Unter bestimmten Umständen kann dieses Verfahren dazu genutzt werden, dem Benutzer eine andere Internetadresse vorzugaukeln.
So würde z.B. bei diesem Link http://www.ebay.de%01@www.ichklaualles.de
der Benutzer denken, er bewegt sich auf der Ebay-Seite,
da er in der Adressleiste nur www.ebay.de sehen würde
und den Rest der Adresse nicht.

Eine Demonstration finden Sie auf Heise-Security

Microsoft hat immerhin einige Workarounds publiziert (siehe auch Knowledge Base Article 833786):

  • Bei verdächtigen Links den entsprechenden Link auf der Seite mit der rechten Maustaste anklicken und Verknüpfung kopieren klicken.
    Nun beispielsweise im Windows Editor diese Verknüpfung einfügen. Es wird hier die gesamte Adresse eingefügt. Man würde also auch den im IE fehlenden Teil erkennen.

  • Die 2. Möglichkeit bezieht sich auf Javascript:

    javascript:alert("Richtige URL: " + location.protocol + "//" + location.hostname + "/" + "\nAngegebene URL: " + location.href + "\n" + "If the server names do not match, this may be a spoof.");

    ‘Richtige URL’ durch die Adresse der Seite ersetzen, auf der man glaubt sich zu befinden.
    Es erscheint eine Message Box, die die eingegebene URL mit der ausgelesenen vergleicht. Sind diese identisch, ist alles ok.

 

Sascha

Sascha

Hauptberuflich "Technologietreiber für Onlinezeugs" in einem Großkonzern. Interessiert an Technik im Allgemeinen, je abgedrehter, umso besser. Neben Familie, Hund und Beruf hat er trotzdem noch Spaß daran Sachen aufzuschreiben, die einem tagsüber so begegnen (manchmal auch nachts ;)).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.