Microsoft kündigt Fix für URL-Spoofing an
In einem Knowledgebase-Artikel weist Microsoft Web-Entwickler und Site-Betreiber darauf hin, dass der Konzern demnächst einen Fix für die so genannte URL-Spoofing-Lücke herausbringen will.
In einem Knowledgebase-Artikel weist Microsoft Web-Entwickler und Site-Betreiber darauf hin, dass der Konzern demnächst einen Fix für die so genannte URL-Spoofing-Lücke herausbringen will. Dadurch verändert sich das Verhalten des Internet Explorer bei entsprechend gestalteten URLs: Bei Konstrukten mit URL-Bestandteilen, die durch ein @-Zeichen vom Rest einer http- oder https-URL abgetrennt werden, soll Microsofts Webbrowser künftig keine Aktion mehr ausführen, sondern nur noch die Fehlermeldung "Invalid syntax error" zurückgeben. Die Ankündigung soll Internet-Betreibern genug Vorlauf geben, um eventuell deswegen notwendige Änderungen an den Websites vorzunehmen; wann der Fix für Anwender verfügbar wird, gab Microsoft nicht bekannt. Bislang hatte der Konzern nur Workarounds für das Problem genannt.
Das Ende vergangenen Jahres gefundene Sicherheitsproblem ermöglicht es Angreifern, Internet-Explorer-Nutzern gefälschte URLs unterzuschieben. Konstrukte in einem Link wie "www.microsoft.com%01@www.heisec.de" gaukeln Anwendern vor, dass sie sich auf der Seite www.microsoft.com befinden, obwohl eigentlich die Seite www.heisec.de angezeigt wird -- die Adressbar des Internet Explorer unterschlägt den Teil hinter dem @. Eine Demonstration dieser Lücke finden Sie im c't-Browsercheck.
Mit einem vergleichbaren Problem hatte auch die Open-Source-Websuite Mozilla zu kämpfen. Seit Version 1.6 öffnet Mozillas Webbrowser zwar Webseiten mit solchen Konstrukten, zeigt sie aber sowohl in der Adressleiste als auch in der Statusbar vollständig an -- zumindest können so keine Missverständnisse darüber auftauchen, auf welcher Webseite sich ein Anwender tatsächlich befindet. Der Webbrowser des norwegischen Softwarehauses Opera warnt standardmäßig durch eine Dialogbox, wenn ein Anwender auf einen Link mit einer URL klickt, die einen durch @-Zeichen abgetrennten Bestandteil enthält.
Nach dem RFC 1738 sind übrigens http-URLs, die mit solch einer @-Konstruktion zur Übergabe von Username/Passwort arbeiten, eigentlich gar nicht vorgesehen. Zwar benennt RFC 2396 für die allgemeine URI-Syntax diese Konstruktion -- in dem RFC wird allerdings auch festgelegt, dass es nur für diejenigen Protokolle Gültigkeit hat, für die nicht wie bei http mit RFC 1738 eine eigene Definition vorliegt. In RFC 1738 wird die zulässige Form einer http-URL aber als http://:/? festgelegt. Dies wird auch im RFC 1945 noch einmal festgehalten. (jk)
