Explorer verdreht Sicherheitszonen
Sune Hansen, der Webmaster von WorldWideWait hat auf einen Bug in Microsofts Internet Explorer 4 hingewiesen, der es erlaubt, die Sicherheitszoneneinstellung zu umgehen und einen beliebigen WWW-Server mit d
Sune Hansen, der Webmaster von WorldWideWait hat auf einen Bug in Microsofts Internet Explorer 4 hingewiesen, der es erlaubt, die Sicherheitszoneneinstellung zu umgehen und einen beliebigen WWW-Server mit den Einstellungen der "Lokalen Intranetzone" ansprechen zu lassen. Dadurch kann eine Internet-Site je nach Konfiguration zusätzliche Rechte innerhalb des Explorers erringen - beispielsweise die Erlaubnis, per ActiveX auf die lokale Festplatte zuzugreifen.
Um die eingestellte Zuordnung zu umgehen, genĂĽgt es, die Internet-Adresse des Servers in der URL (Uniform Resource Locator) in 32-Bit-Form anzugeben statt den DNS-Namen (http://www.heise.de/) oder die IP-Nummer (http://194.122.76.131) zu verwenden. Die 32-Bit-Adresse errechnet sich aus der IP-Nummer; fĂĽr den Heise-Webserver beispielsweise
194 x 256^3 + 122 x 256^2 + 76 x 256 + 131 = 3262794883
Über diesen Test-Link sollte der Heise-Server von den betroffenen Internet Explorern in die Intranetzone eingeordnet werden. Nach ersten c't-Versuchen scheint der Bug auf der Option "Alle lokalen Sites, die nicht in anderen Zonen aufgeführt sind, einbeziehen" zu beruhen, die in den Internet-Sicherheitsoptionen der Intranetzone ("Sites hinzufügen") standardmäßig aktiviert ist. Es empfiehlt sich daher, diese Option auszuschalten und alle notwendigen lokalen Sites in den "erweiterten" Einstellungen von Hand einzutragen; der Erfolg sollte unmittelbar sichtbar sein, indem der Test-Link auf den Heise-Server rechts unten in der Statuszeile wieder der Internet-Zone zugeordnet wird. (nl)
