" Dass der Browser Informationen weitergibt, wenn die Option "Verwandte Links anzeigen" aktiviert wurde, ist als "Feature" bekannt. Ein Bug führt jedoch dazu, dass auch nach dem Deaktivieren dieser Option Internet Explorer weiter Daten an "msn.com" und "alexa.com" uebermittelt. Dies erfolgt jedes Mal, wenn eine Seite mit "Strg+R aufgefrischt wird. Erst ein Neustart des Internet Explorers beendet dieses Verhalten.
Zu allem Überfluss betrifft dieses Verhalten auch SSL-Webseiten, wie mittlerweile feststeht. Die Tatsache, dass Informationen, die eigentlich durch SSL geschützt werden sollen, im Klartext an Dritte übermittelt werden, geht weit über ein Feature hinaus.
Internet Explorer sendet den gesamten URL an "msn.com" und "alexa.com", inklusive eventuell enthaltener Benutzernamen, Passworte, Session-IDs, Suchbegriffe, Pfadangaben und so weiter.
Die Sicherheitslücke ist für Internet Explorer 6 auf Windows 2000 und XP (auch mit allen Service Packs und Hotfixes) bestätigt.
Anmerkung:
Es liegt allein in Microsofts Ermessen, an wen die übermittelten Informationen gehen. Microsoft könnte jederzeit beschliessen, sie neben "alexa.com" auch noch anderen Parteien zukommen zu lassen.
Lösung:
Filtern Sie den Datenverkehr am Netzwerkperimeter, so dass keinerlei Daten mehr an "msn.com" und "alexa.com" uebermittelt werden.
Am einfachsten bewerkstelligen Sie das, indem Sie die Datei "hosts" (i.d.R. zu finden unter Windows/System32/drivers/etc) um folgende Einträge ergänzen:
127.0.0.1 msn.com
127.0.0.1 alexa.com
Vermeiden Sie die Benutzung der Option "Verwandte Links anzeigen" oder schliessen Sie den Internet Explorer nach deren Benutzung jedes Mal.
Vermeiden Sie die Benutzung von Internet Explorer. Was an solchen "Schwachstellen" bekannt wird, könnte sich eines Tages als Spitze eine Eisberges herausstellen. "
Quellen:
http://it-secure-x.de/news.php?s=read&id=58
http://www.secunia.com/advisories/8955
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Warum einfach, wenns auch kompliziert geht?
Dieser Artikel wurde unter einem IE-freien Windows98SE mit Mozilla 1.3.1 geschrieben.
" In Tests konnte die c't-Redaktion die bei einem Reload an Alexa übermittelteten Daten protokollieren. Sie enthielten die komplette URL der erneut geladenen Seite. Auch beim Reload von https-Seiten wurden Daten an Alexa übermittelt. Diese enthielten jedoch nur die URL der letzten unverschlüsselt angezeigten Seite -- Informationen zur verschlüsselten https-Seite konnten wir nicht entdecken. Da wir jedoch bisher keine intensiven Tests durchführen konnten, wollen wir nicht ausschließen, dass der Internet Explorer unter bestimmten Umständen auch Informationen zu verschlüsselten Seiten an Dritte sendet. Bei den besonders kritischen URLs aus dem lokalen Netz übetrug der Microsoft-Browser lediglich den allgemeinen Text "Intranet-URL". "
Quelle:
http://www.heise.de/newsticker/data/ju-08.06.03-000/
Glaubt ihr eigentlich wirklich, das Mozilla oder Debian/Linux oder auch MacOS besser/sicherer sind als Windows? Wenn dem so ist, tut ihr mir leid.
Aber erstaunlicherweise, wenn mal wieder auf heise.de Fehler von Linux bekannt gegeben werden, oder Bugs und Lücken von mozilla, ist hier kein Posting von Windows-usern, die mit dem ausgestreckten Finger auf euch zeigen und euch auslachen.
Hallo Großadministrator,
es geht in diesem Thread nicht um die Frage
- was besser ist
- was jemand glaubt
- wer wem leid tut
sondern um einen Bug, der anzunehmender Weise keiner ist, sondern Absicht. Ansonsten hätte MS Alexa ja nicht in den IE implementieren müssen.
Es geht in dem Thread weiter um die Frage, wie man vermeidet, selbst von diesem Spionagemechanismus verschont zu bleiben.
Und nicht um eine Grundsatzdiskussion über Betriebssysteme. Wenn Du diese führen möchtest, ist ein eigener Thread schon alleine der Übersichtlichkeit wegen sicher besser geeignet.
Gruß
A4.
Nein, A4. Das sehe ich anders. Der Thread-Starter hat (auch wenn er das jetzt vielleicht anders darstellen möchte) in einer augenscheinlich schadenfreudigen Art und Weise eine Diskussion eröffnet. Wenn heir jemand schreibt, Achtung, Leute, dieser und jener Fehler ist bekannt geworden, hier ist der Patch (so was in der Art). ist das in Ordnung. Wenn aber jemand meint, unter sein Posting folgendes schreiben zu müssen:
Vermeiden Sie die Benutzung von Internet Explorer. Was an solchen "Schwachstellen" bekannt wird, könnte sich eines Tages als Spitze eine Eisberges herausstellen. "
Quellen:
http://it-secure-x.de/news.php?s=read&id=58
http://www.secunia.com/advisories/8955
--------------------------------------------------------------------------------
Dieser Beitrag wurde unter Debian GNU/Linux 3.0 Woody verbrochen
darf sich nicht wundern, das er darauf hingewiesen wird, das sein System nicht besser ist.
Oder solche Kommentare (iron)
Dieser Artikel wurde unter einem IE-freien Windows98SE mit Mozilla 1.3.1 geschrieben
Hi Großadministrator - zunächst mal sorry, daß ich unter Dein Post bei Freddy gepostet habe, sollte hierher.
Tun wir das ganze doch mal nachvollziehen. Die Ursprungsmeldung (Freddy hat die Quelle genannt) stammt von hier:
http://www.secunia.com/advisories/8955/
Darin steht der von Dir monierte Satz NICHT. Der Artikel wurde von
it-secure übernommen. Dort findet sich als letzter Satz:
"Vermeiden Sie die Benutzung von Internet Explorer. Was an solchen "Schwachstellen" bekannt wird, könnte sich eines Tages als Spitze eine Eisberges herausstellen."
Freddy hat also jedenfalls zitiert und NICHT in irgend einer Art oder Weise selbst etwas (hämisches) hinzugefügt.
Daß Linux auch Macken hat, wird niemand bestreiten. Daß noch mehr Schwachstellen darin ausgeforscht würden, wenn es so verbreitet wäre wie MS, ist anzunehmen. Aber das ist Theorie. In der Praxis geht es halt um Schwachstellen im IE, und was sich MS mit Alexa leistet, ist mehr als nur eine Schweinerei. Es ist illegale Personenüberwachung.
Falls andere das auch machen sollten, wäre es noch lange keine Rechtfertigung.
Gruß
A4.
Selbstverständlich ist MacOS sicherer und besser, ich habe 10 Jahre lang wunderbar damit gearbeitet. Kein Mensch hat damit irgendwelche Sicherheits-, Stabilitäts oder gar Performance-Probleme; und selbst wenn alle Jubeljahre mal ein kleines Problem auftritt, ist es schnell aus der Welt geschafft.
Ich bin nur deshalb auf PC/Windows umgestiegen, weil mir mein alter Mac zu lahm geworden war und die Apple-Hardware so unverschämt teuer ist. Ob mein nächster Rechner in ein paar Jahren wieder ein PC wird, oder ob ich zu Macintosh zurückkehren werde - mal abwarten.
Und wenn es die Wahl gibt zwischen einem Browser / Mailclient, der nur wenige Sicherheitslöcher hat, die dann auch noch zügig aus der Welt geschafft werden, und einem System, das mutwillig(!) solche Lücken einbaut, um das Verhalten seiner Benutzer effektiver ausspionieren zu können, dann muss doch ein Hinweis auf Alternativen erlaubt sein.
> die mit dem ausgestreckten Finger auf euch zeigen und euch auslachen
Wer macht denn hier so etwas? Ein bisschen mehr Sachlichkeit würde auch Dir gut tun.
CU
Olaf
Wer auf eine Warnung so bescheuert reagiert wie Du, dem sollte man
zu dessen eigenen Schutz den Rechner wegnehmen.
Wenn Du trollen willst, dann schere Dich ins Heise-Forum!
stinkesauer
FreddyK.
Warnung? Was für eine Warnung denn? Das war ausgießen von Häme über die IE6-Nutzer und die armen Irren, die Windows als BS haben. So kam das rüber und nicht anders.
Soll ich mal bei jeder Meldung hier einen Thread aufmachen, in dem Linux/Mozilla/Mac-User auf einen (wahren oder angeblichen) Fehler aufmerksam gemacht werden?
Fühlst du dich beleidigt, nur weil dich jemand darauf aufmerksam macht, das dein System nicht besser ist alles andere?
Wenn du meinst, du müßtest andere auf Fehler in ihrem System aufmerksam machen, dann kannst du das ruhig. Ist völlig in Ordnung. Aber bitte so, das es auch als ernsthafter Hinweis ankommt und nicht als totale Schadenfreude (haha, jetzt gibt es gottseidank wieder mal einen Bug im IE).
Was Freddy weitergegeben hat, war weder Häme noch Schadenfreude, sondern ein Zitat, das er freundlicherweise übersetzt hat. Hier das Original:
Internet Explorer Exposes Sensitive Information
Release Date:
2003-06-06
Critical:
Moderately critical
Impact:
Exposure of sensitive information
Where:
From remote
Software:
Microsoft Internet Explorer 6
Description:
A vulnerability has been identified in Internet Explorer, which exposes sensitive information to "msn.com" and "alexa.com".
While this is a known "feature" when the "Show Related Links" option is enabled in Internet Explorer, there is a bug, so that Internet Explorer will keep transmitting the information to "msn.com" and "alexa.com" after "Show Related Links" has been disabled. This occurs whenever "Ctrl+R" is used to reload a page.
To make matters worse, it has been confirmed that this behaviour also affects SSL enabled pages. One thing is that Microsoft has chosen to make a "feature", which reveals this information to "msn.com" and "alexa.com", but the fact that information, which was supposed to be protected by SSL and sent only to one site, is sent in plain text to a third party ("msn.com" and "alexa.com") is of great concern.
The data transmitted to "msn.com" and "alexa.com" is the complete URL. In some cases this could contain sensitive information such as username, password, session id, search string, "secret paths", and more.
The vulnerability has been confirmed for Internet Explorer 6 on Windows 2000 and Windows XP with all Service Packs and hotfixes.
It is Microsoft that controls who else than "msn.com" should receive this information. Microsoft could at any time choose to send this information to another party than "alexa.com".
Solution:
We recommend that you filter traffic at your perimeter so that no data may be sent to "msn.com" and "alexa.com".
Make sure that you don't use the "Show Related Links" feature or that you close your browser after you have used it.
Gruß
A4.
Vielleicht dienen diese Postings auch nur zur Aufklärung. Und da die meisten halt Windows/IE/Outlook benutzen, wird halt von Windows-Fehlern berichtet. Andersrum hat Linux nicht die breite Masse die Leute sind vielleicht eh in den dafür anstämmigen Foren unterwegs, sind sicherheitsbewußter, keine Ahnung. Darüber hinaus splitten sich die Benutzer auch noch auf in Leute die Konqueror, Mozilla, Opera, Phoenix etc... benutzen. Eine Meldung für 2 Leute ist nicht so wahnsinnig interessant, eine Meldung die auf mindestens 75% der PC-Benutzer zutreffen schon.
Ich sehe in dem Ursprungs-Thread übrigens keine Polemik gegenüber dem IE/Windows und dessen Benutzer.
Und kann es nicht tatsächlich sein, dass der IE mehr Fehler enthält als andere Browser? Denn damals hatte Netscape nicht solche groben Schnitzer in der Menge und dafür dass die Entwickler Lohnsklaven sind und schon seit 6 Versionen am rumwerkeln sind, ist das sicherheitstechnisch doch etwas mager. Nun, der IE ist mehr verbreitet und ist deshalb für Hacker/Cracker interessanter, aber dafür ist beispielsweise Mozilla OpenSource. Das hebt sich auf, denke ich. Denn wer weiß schon, wieviele Fehler der IE/Windows hat die seit der Steinzeit mitgeschleppt werden. Hin und wieder wird so ein Fehler entdeckt, wo es dann heißt "Alle Windows-Versionen seit 95 sind betroffen..." oder sowas. Passiert auch bei OpenSource-Programmen, aber in der Regel halt nicht so heftig, da viele Augen auch viele Fehler entdecken. Die Fehler und deren Anzahl bei Mozilla kann man übrigens bei Bugzilla nachgucken. Die Zahl weiß ich nicht mehr, aber sie ist sehr gering.
Hi,
ich sehe das so, wer glaubt, mit seinem System und mit seiner Software sich in Sicherheit zu wiegen, der irrt sich gewaltig.
Software ist Software und Trojaner gab es schon, da war noch nicht im Entferntesten an Windows, Linux oder MacOS zu denken.
Ich möchte hier keinen zu Nahe treten, aber die Behauptung, dass ein bestimmter Browser sicherer ist als ein anderer, gleitet in den Bereich des Aberglaubens.
Es ist fast niedlich, wenn man eines der Programme IE, Konqueror, Netscape, Mozilla, Opera, Phoenix, Crazy Browser, Arachne (ein Browser im reellen DOS-Modus) u.v.a.m. als den sichersten Browser ansieht. (Vielleicht hilft noch das Überkreuzen der Finger, wenn man surft - Sorry, konnte nicht widerstehen). Spätestens nach dem ersten Trojaner oder nach dem ersten Mail-Angriff stürzt der Software-Gläubige von seinem hohen Ross.
In jedem Fall bleibt es nicht erspart, ein Sicherheits-Firewall-Konzept gedanklich sowie praktisch einzurichten.
Der IE ist in gewissen Punkten unsicher, das Bekanntwerden dieser Tatsache liegt mit Sicherheit daran, dass sich sehr viele Leute mit dem IE beschäftigen. Wenn genauso viel Leute einen anderen Browser verwenden würden, würden die Sicherheitslücken des anderen Browsers bekannt und häufig genannt werden.
>Internet Explorer sendet den gesamten URL an "msn.com" und "alexa.com", inklusive eventuell enthaltener Benutzernamen, Passworte, Session-IDs, Suchbegriffe, Pfadangaben und so weiter
Das kann man mit Sicherheit verhindern, in dem man "msn.com" und "alexa.com" aus der Registry entfernt. Die Programme "Spybot" und "Ad-Aware" erledigen das für den Anwender.
Ein Nachhausetelefinieren des Systems (dabei ist es egal wie dieses System heißt Windows, Linux oder MacOS u.v.a.m.) kann beim Vorhandensein des Internetzugriffs in keinem Fall wirklich verhindert werden. Ich habe jahrelang programmiert und weiß, dass das keine leere Phrase ist.
Deshalb sind einige Hinweise angebracht.
Sensitive Daten nie im direktem Zugriff aufbewahren.
Dabei existieren folgende Verwirklichungsmöglichkeiten:
1. Sensitive Daten auf wechselbare Datenträger abspeichern (Diskette, Wechselplatte, CD ...)
2. Sensitive Daten verschlüsseln ("Echtzeitverschlüsselung" - PGPDisk, verschlüsselte Archive ...)
3. eine weitere Systempartition einrichten, auf der das weniger vertrauenswürdige Arbeits-System nicht zu greifen kann. Um die sensitiven Daten zu bearbeiten, muss das zusätzliche Sicherheitssystem gestartet werden.
Die Umsetzung mit der zusätzlichen Systempartition verwende ich in vielen Fällen. Darüber hinaus sichere ich das Arbeitssystem, in dem ich das zusätzliche System boote und ein ganz normales Zip-Archiv erzeuge. Die zusätzliche Systempartition ist als Miniystem eingerichtet.
Gruß
Teletom
Dieser Beitrag wurde unter Software, die von Menschen angefertigt wurde, verbrochen.
Für und Wider von TCPA/Palladium/Java
Hi Teletom!
Deine Bemühungen um Ausgeglichenheit und Objektivität weiß ich sehr zu schätzen, kann Dir aber in einigen Punkten nicht ganz folgen.
Es geht bei der ganzen Diskussion nicht darum, ob ein BS bzw. Browser unfehlbar ist und wenn ja welcher/-s. All diese Softwareprodukte sind Menschenwerk und werden daher schon aus rein prinzipiellen Gründen niemals gottgleiche Perfektion erreichen. Aber man sollte Abstufungen machen und feststellen, dass nicht alles gleich gut ist. Beim IE und ganz besonders bei OE treten öfter Sicherheitsprobleme auf als bei Mozilla & Co; bei letzteren werden vorhandene Bugs außerdem schneller gepatcht.
Ich habe darüber zwar keine Strichlisten geführt, aber das entspricht nicht nur meiner Wahrnehmung; das sagt Dir jeder der sich mit dem Thema eingehend beschäftigt hat, auch IT-Fachleute - sei denn, sie stehen auf der Gehaltsliste von Microsoft.
Entscheidend ist aber ganz etwas anderes.
Wenn jemandem ein Fehler unterläuft, dann ist das menschlich; gerade bei einer so immens komplexen Materie wie Software-Entwicklung. Wenn jemand aber mutwillig "Features" einbaut, die das Ziel verfolgen, seine Kunden hinter deren Rücken auszuspionieren, dann ist das ihnen gegenüber nicht nur hinterhältig, sondern tritt auch geltendes Recht mit Füßen, wie Amenophis IV weiter unten erwähnt hat.
Dass sich sowas eine Firma leistet, die mit Hilfe von TCPA/Palladium einen gerechten Krieg gegen Raubkopierer zu führen entschlossen ist, kann an Selbstgerechtigkeit und Heuchelei kaum noch überboten werden. Ich find's einfach nur peinlich.
CU
Olaf
>>Der IE ist in gewissen Punkten unsicher, das Bekanntwerden dieser Tatsache liegt mit Sicherheit daran, dass sich sehr viele Leute mit dem IE beschäftigen. Wenn genauso viel Leute einen anderen Browser verwenden würden, würden die Sicherheitslücken des anderen Browsers bekannt und häufig genannt werden. Altes Gegenbeispiel: Netscape war jahrelang Marktführer und der Navigator hatte schon damals weniger Bugs als der IE.
Den 100% sicheren Browser wird es nie geben, aber mit manchen Produkten ist man näher daran als mit anderen, denn die Anzahl der Bugs wird nicht von der Popularität beeinflusst, nur die Anzahl der Exploits für einen Bug ist abhängig von der Popularität eines Browsers.
Es ist auch naiv zu glauben, dass zwei Produkte, von zwei Entwicklerteams mit völlig verschiedenen Maximen und anderem Interesse dieselbe Anzahl und genauso schwerwiegende Fehler in ihre Software frickeln. Microsoft will einfach nur, dass es läuft. Was der Anwender nicht zwingenderweise wissen muss, wird einfach verschwiegen oder so voreingestellt, dass es komfortabel ohne Aufwand läuft. Dabei stehen auch stark finanzielle Interessen im Vordergrund.
Mozilla war hingegen von Netscape als Entwicklerteam gedacht, um die Enginge für die nächste Netscape-Generation zu schaffen. Dadurch, dass Mozilla und die Browser die dessen Engine benutzen sehr stark auf unixioden Systemen verwendet werden, ist allein schon der Sicherheitsanspruch höher. Man traut den Leuten auch zu, mal ein paar Klicks zu machen. Der Quellcode ist einsehbar und wird von vielen Leutchen in Bewegung gehalten. Die Engine dient als Herz für einige weitere mozillabasierender Browser (Prestigefrage). Und ich behaupte, dass finanzielle Interessen weniger stark ausgeprägt sind, als beim IE.
Dass Software, und damit auch Mozilla immer Fehler haben, weiß jedes Kind und hat niemand bestritten. Aber die Anzahl, als auch die schwere der Fehler kann sehr wohl geringfügiger sein, als bei MS-Produkten.
Hi,
bei http://it-secure-x.de/news.php?s=read&id=58
wird als Nachsatz der Übersetzung aus dem Englischen (zu finden bei http://www.secunia.com/advisories/8955) folgendes ergänzt:
>Vermeiden Sie die Benutzung von Internet Explorer. Was an solchen "Schwachstellen" bekannt wird, könnte sich eines Tages als Spitze eine Eisberges herausstellen.
Ob das gut ist?
"Verwandte Links" wird bei der Standardinstallation von IE6 SP1 nicht bei den Symbolleisten eingerichtet.
Die Programme "Spybot" und "Ad-aware" entfernen den "Alexa"-Eintrag aus der Registry. Da diese Programme zur Zeit fast unumgänglich sind, erübrigt sich im Fall der Programmanwendung der dargestellte Hosts-Dateieintrag.
Beim "MSN.COM"-Hosts-Dateieintrag wird es Probleme geben, wenn man MSN.COM im Internet aufrufen möchte.
Ansonsten ist es schon Okay, dass man über Sicherheitslücken des IEs schreibt.
UND MS ist leider auch eine profitorientierte Institution, daran sollte man denken.
Meine in diesem Thread weiter zum Anfang hin aufgeführten Hinweise sind deshalb in jedem Fall angebracht.
Gruß
Teletom
>>Die Programme "Spybot" und "Ad-aware" entfernen den "Alexa"-Eintrag aus der Registry. Da diese Programme zur Zeit fast unumgänglich sind, erübrigt sich im Fall der Programmanwendung der dargestellte Hosts-Dateieintrag.
Sei gegrüßt,
ich sehe, Du hast hinzugelernt. :D
Bevor man eine Komponente deaktiviert, sollte man sich folgendes überlegen:
1. Verringert sich die Systemsicherheit durch das Deaktivieren?
2. Kann der Anwender die zu deaktivierende Komponente gebrauchen?
3. Übertrifft der Aufwand zum Deaktivieren den Nutzen, der entsteht, wenn man die Komponente deaktiviert hat?
Alle drei Fragen werden offensichtlich bei "Alexa" mit "nein" beantwortet. Deshalb ist das Deaktivieren in dem Fall kein Thema.
Bei "msn.com" sieht das Beantworten der Fragen schon anders aus.
Die Programme "Spybot" und "Ad-Aware" kann man zur Zeit mit Sicherheit vertrauen, deshalb ist ein programmmäßiges Deaktivieren bei "Alexa" auch aus dieser Sicht kein Thema.
Viel Spaß
Teletom