Mozilla & Co: Webseiten lesen lokale Dateien
Giovanni Delvecchio weist in einem Posting auf der Sicherheits-Mailingliste Full Disclosure auf ein mögliches Problem hin: Über einen Trick können Webseiten lokale Dateien ausspionieren.
Giovanni Delvecchio weist in einem Posting auf der Sicherheits-Mailingliste Full Disclosure auf ein mögliches Problem der alternativen Browser der Mozilla-Foundation und des norwegischen Software-Herstellers Opera hin: Über einen Trick können Webseiten lokale Dateien ausspionieren.
Um lokale Dateien via file://-URL öffnen zu können, muss ein HTML-Dokument ebenfalls vom lokalen Rechner stammen -- externen Webseiten ist der Zugriff eigentlich untersagt. Um diese Sperre zu umgehen, kann ein Web-Server eine Datei mit einem unbekannten Dateityp versehen. Wählt der Anwender im Dialog "Öffnen" mit dem Browser, wird die Datei lokal zwischengespeichert und dann mit den lokalen Rechten geöffnet. Antwortet der Anwender "Speichern" und öffnet die Datei später, gilt natürlich dasselbe. Nun kann die HTML-Datei eine lokale Datei in einen IFrame einbetten und über JavaScript an einen externen Server übertragen. Auch Pfade und Verzeichnisstrukturen kann das Skript ermitteln. Das funktioniert laut Delvecchio mit Mozilla, Firefox und Opera -- unabhängig vom Betriebssystem; unter Linux gleichermaßen wie unter Windows.
Delvecchio gelang es nicht, auf diesem Weg auch mit dem Internet Explorer lokale Dateien auszulesen. Warum der Microsoft-Browser gegen diesen Trick immun sein sollte, ist allerdings nicht klar. Schließlich haben gerade in Microsofts Browser lokale HTML-Seiten ganz besondere Rechte. Es wäre nicht überraschend, wenn sich herausstellen sollte, dass sich auch mit dem Internet Explorer auf ähnliche Weise lokale Dateien auslesen lassen.
Delvecchio hat die Entwickler von Mozilla und Opera unterrichtet, aber keine Antwort erhalten. Er ist sich auch selbst nicht sicher, ob es sich tatsächlich um ein Sicherheitsproblem handelt: Schließlich können externe Webseiten nicht direkt auf lokale Dateien zugreifen, sondern müssen den Umweg über eine lokale Zwischenstation nehmen; dem Browser ist dabei eigentlich nichts vorzuwerfen, er verhält sich genau wie vorgesehen. Wer sich selbst einen Eindruck von dem Sachverhalt verschaffen will, kann es mit Mozilla oder Firefox auf dem c't-Browsercheck ausprobieren.
Siehe dazu auch: (ju)
- Demo auf dem c't-Browsercheck
