Bug im Internet Explorer verschickt besuchte URLs
Wer sich vom Internet Explorer "Verwandte Links" anzeigen lässt, muss damit rechnen, dass die besuchten URLs bei Dritten landen -- auch wenn er die Funktion wieder abschaltet.
Die Funktion "Verwandte Links anzeigen" des Internet Explorer (unter dem Menu-Punkt "Extras") liefert zur aktuellen Seite eine Reihe von URLs ähnlicher Web-Seiten. Der Haken dabei ist, dass der Internet Explorer dazu die besuchten URLs an Dritte -- konkret: den Dienst-Provider Alexa beziehunsgweise MSN -- verschickt, die damit komplette Surf-Profile erstellen können. Außerdem enthalten URLs gelegentlich auch geheime Daten wie Benutzernamen, Passwörter oder Session-IDs, die damit ebenfalls bei Alexa und MSN landen.
In einem Advisory warnt jetzt die Sicherheitsfirma Secunia, dass der Internet Explorer unter Umständen die besuchte URL auch dann an Alexa beziehungsweise MSN überträgt, wenn der Anwender das gar nicht möchte. Dies geschieht, wenn der Anwender "Verwandte Links" in der aktuellen Browser-Sitzung aktiviert, aber wieder abgeschaltet hat und dann eine Seite via CTRL-R ("Reload") erneut lädt. Besonders kritisch stuft es Secunia ein, dass der Internet-Explorer auch bei SSL-verschlüsselten Seiten Informationen an Alexa und MSN verschickt. "Die Tatsache, dass Informationen, die durch SSL geschützt und nur zu einer Seite geschickt werden sollten, im Klartext an Dritte geschickt werden, ist sehr bedenklich."
In Tests konnte die c't-Redaktion die bei einem Reload an Alexa übermittelteten Daten protokollieren. Sie enthielten die komplette URL der erneut geladenen Seite. Auch beim Reload von https-Seiten wurden Daten an Alexa übermittelt. Diese enthielten jedoch nur die URL der letzten unverschlüsselt angezeigten Seite -- Informationen zur verschlüsselten https-Seite konnten wir nicht entdecken. Da wir jedoch bisher keine intensiven Tests durchführen konnten, wollen wir nicht ausschließen, dass der Internet Explorer unter bestimmten Umständen auch Informationen zu verschlüsselten Seiten an Dritte sendet. Bei den besonders kritischen URLs aus dem lokalen Netz übetrug der Microsoft-Browser lediglich den allgemeinen Text "Intranet-URL".
Das Problem tritt zumindest bei Internet Explorer 6 auf -- ob auch andere Versionen betroffen sind, ist derzeit noch unklar. Von Microsoft liegt bisher keine Stellungnahme vor. Wer den Internet Explorer einsetzt und die Übertragung von URLs an Dritte vermeiden will, sollte die Funktion "Verwandte Links anzeigen" überhaupt nicht nutzen oder zumindest nach jedem Einsatz alle Internet-Explorer-Fenster schließen und den Browser neu starten. (ju)
