Freemailer GMX weiterhin löchrig

Das GMX-Sicherheitskonzept ist weiterhin löchrig wie ein Sieb. Ein offensichtlich in aller Eile erstelltes Hotfix, das eine Sicherheitslücke schliessen sollte, erweist sich als unzureichend. c't war es am gestrigen Donnerstag gelungen, mittels einer HTML-formatierten E-Mail, die im Webfrontend geöffnet wurde, ohne Kenntnis des Benutzers seine gültige GMX-Session-ID über den "Referrer" zu übermitteln. Ein Leser brachte uns darauf, dass es genügt, die entsprechenden Links zu einem fremden Server in Stylesheets einzubetten.

GMX hat diese Methode unterbunden, indem beispielsweise verdächtige Bildanforderungen im Code durch einen "Dereferrer" geschleust werden, der die Session-ID aus der Request-URL entfernt. Die Suche nach den entsprechenden Zeichenketten durch GMX läßt sich leicht umgehen, wenn man bewusst kleine Fehler in den Code einbaut. Die Fehlerkorrektur der Browser sorgt dafür, dass der Code dennoch ausgeführt wird. GMX aber erkennt die Gefahr nicht und übergibt den Referrer unbesehen an einen fremden Server – der Sicherheitsmechanismus ist ausgehebelt.

Auch diese Einbruchmöglichkeit ist mittlerweile durch GMX unterbunden. Unverständlich bleibt aber, warum GMX das Problem nicht an der Wurzel packt, statt immer wieder Fixes nachzuschieben. Mit einer gültigen Session-ID lassen sich, wie ein Hacker vor drei Wochen demonstrierte, erschreckend leicht GMX-Konten durch Änderung des Passworts von innen verriegeln, Mails lesen und löschen sowie gefakte Mails absenden.

Dabei gibt es genügend Lösungen: Bis GMX ein neues Konzept hat, könnte man etwa die Ausführung von HTML-Code im Webfrontend generell unterbinden. Ausserdem könnte der Dienst die Gültigkeit von Session-IDs an ein lokal auf dem Nutzerrechner gespeichertes Cookie koppeln – erst beide Daten zusammen würden dann den Account öffnen. Dass GMX als größter deutscher E-Mail-Dienst offensichtlich solche Lösungen, die woanders längst gang und gäbe sind, nicht einmal andenkt, wirft kein gutes Licht auf den Börsenkandidaten. (hob)