Internet Explorer verrät FTP-Zugangsdaten
Ruft man ein HTML-Dokument mit dem Internet Explorer per FTP ab und speichert es lokal, so finden sich die FTP-Zugangsdaten als Kommentar im Dokument.
- Daniel Bachfeld
Anwender des Internet Explorer sollten beim Herunterladen von HTML-Seiten von FTP-Servern darauf achten, ob möglicherweise die eigenen FTP-Zugangsdaten im Dokument gespeichert sind, bevor sie es weitergeben oder nochmals veröffentlichen. Der Internet Explorer 6 und 7 hat die Eigenart, die Herkunfts-URL eines HTML-Dokumentes als Kommentar hinzuzufügen, wenn man es lokal abspeichert. Ruft man einen FTP-Server auf, der eine Authentifizierung erfordert, so findet man im Dokument nach dem Speichern neben der URL allerdings auch noch Namen und Passwort im Klartext in der Form:
<!-- saved from url=(0042)ftp://name:password@adresse/test.html -->
Insbesondere beim Gestalten der eigenen Webseite kann es leicht passieren, dass man so seine FTP-Zugangsdaten verrät, wenn man das überarbeitete Dokument wieder auf den FTP-Server hochlädt. Erstmals öffentlich erwähnt hat das Problem Brian Krebs von der Washington Post in seinem Security Blog. Auf Nachfrage bei Microsoft erhielt er die Antwort, dass der Internet Explorer nicht als vollwertiger FTP-Client gedacht sei. Der Grund warum die URL im Dokument gespeichert werde, sei die Zuordnung zu einer Sicherheitszone, falls das Dokument zu einem späteren Zeitpunkt nochmals lokal geöffnet werde. Name und Passwort würden deshalb auftauchen, da sie Bestandteil einer gültigen URL seien.
Um dem Problem aus dem Weg zu gehen, sollten Anwender ein dedizierten FTP-Client einsetzen. Beispiele dafür finden sich im c't-Softwarearchiv. Unter Umständen können sogar Webentwickler über den "saved from"-Kommentar auch Plagiate ihrer Webseiten per Google finden, sofern der Kopierer den Kommentar übersehen hat.
Siehe dazu auch:
- Internet Explorer and Your Web Site's Privacy, Blogeintrag von Brian Krebs
(dab)
