Internetanbieter schließt Lücke in Webmailer

Der in Osnabrück ansässige regionale Internetanbieter Osnatel hat eine Sicherheitslücke in seinem Webmailer beseitigt, durch den der Zugriff auf fremde Mailkonten möglich war. Entdeckt hatte das Problem der heise-online-Leser Karsten Ameling, der beim Rumprobieren mit Google über einen Link zum Webmailer von Osnatel mit einer gültigen Session-ID gestolpert war. Ein Klick darauf führte ohne Authentifizierung zu dem Postfach eines anderen Osnatel-Kunden.

Wie der Link mit der Session-ID in den Google-Index gelangt ist, ist bislang unklar. Offenbar handelte es sich aber nur um eine ID, die beim Einloggen an verschiedene Kunden vergeben wurde. Es wird vermutet, dass das Problem insbesondere in Zusammenhang mit Sessions auftrat, bei dem der Anwender sich nicht ordnungsgemäß vom Mailer abmeldete, sondern einfach den Browser schloss.

Wie lange das Problem bestand und wie viele Kunden davon betroffen waren, ist nicht bekannt, Osnatel hat das Problem nach eigenen Angaben gelöst, indem man auf das alte Anmeldeverfahren gewechselt hat, bei dem zum Zugriff auf den Webmailer zusätzlich zur ID ein Cookie abgefragt wird. Allerdings ist es dazu nötig, dass die Anwender Cookies im Browser akzeptieren, was laut Heiko Beylich, Sprecher von Osnatel bereits zu mehr Anfragen beim Support geführt hat.

Grundsätzlich bieten Cookies Vorteile gegenüber Session-IDs, da sich IDs unter Umständen leichter erraten oder ausspähen lassen. Viele Anwender hegen gegenüber Cookies aber nicht zu Unrecht einigen Argwohn, da sich darüber Benutzerprofile erstellen lassen. Anwender können allerdings im Browser Ausnahmelisten definieren, wer Cookies setzen darf und wer nicht. Hundertprozentigen Schutz vor dem Ausspähen gültiger Session- oder Anmeldedaten bieten aber auch Cookies nicht, etwa wenn eine Webanwendung eine Cross-Site-Scripting-Lücke aufweist. (dab)