Cache-Kuh schnüffelt Navigator aus

Internet-Consultant Dan Brumleve hat eine Sicherheitslücke des Netscape Navigator gefunden, die es einem Eindringling erlaubt, im Cache des Browsers zu schnüffeln. Dazu muß das Opfer eine entsprechend präparierte Web-Seite aufrufen. Mit einem kleinen JavaScript späht Cache Cow - so Brunleves Name für das Sicherheitsproblem - diejenigen URLs aus, die im Zwischenspeicher des Browsers stehen.

Der Angriff durch die Cache-Kuh sollte eigentlich "nur" ein Privacy-Problem sein und Gegenmaßnahmen nur von solchen Anwendern erzwingen, die es Fremden nicht erlauben wollen, ihr Surfverhalten zu beobachten. Sicherheitsrelevante Daten wie Zugangskennungen sollten nicht im Cache stehen. Brumleve hat in den Log-Dateien seiner Demo-Site allerdings auch Kreditkartennummern gefunden. Diese stammen von Besuchern seiner Site, die zuvor offenbar schlecht programmierte Webseiten abgerufen hatten (die Kreditkartennummer war beim Formularabruf per http-GET offenbar in die URL kodiert).

Betroffen sind alle Versionen des Navigator, die JavaScript unterstützen. Als Gegenmaßnahme bleibt momentan nur die Möglichkeit, JavaScript abzuschalten, den Cache zu löschen und die Cache-Größe auf 0 Bytes festzulegen. C|Net News zitiert einen Netscape-Mitarbeiter, der einen Fix für die nächste Woche ankündigt. (jo)