08.06.2003, 22:42
Zitat:Die Funktion "Verwandte Links anzeigen" des Internet Explorer (unter dem Menu-Punkt "Extras") liefert zur aktuellen Seite eine Reihe von URLs aehnlicher Web-Seiten. Der Haken dabei ist, dass der Internet Explorer dazu die besuchten URLs an Dritte -- konkret: den Dienst-Provider Alexa beziehunsgweise MSN -- verschickt, die damit komplette Surf-Profile erstellen koennen. Ausserdem enthalten URLs gelegentlich auch geheime Daten wie Benutzernamen, Passwoerter oder Session-IDs, die damit ebenfalls bei Alexa und MSN landen.
In einem Advisory warnt jetzt die Sicherheitsfirma Secunia, dass der Internet Explorer unter Umstaenden die besuchte URL auch dann an Alexa beziehungsweise MSN uebertraegt, wenn der Anwender das gar nicht moechte. Dies geschieht, wenn der Anwender "Verwandte Links" in der aktuellen Browser-Sitzung aktiviert, aber wieder abgeschaltet hat und dann eine Seite via CTRL-R ("Reload") erneut laedt. Besonders kritisch stuft es Secunia ein, dass der Internet-Explorer auch bei SSL-verschluesselten Seiten Informationen an Alexa und MSN verschickt. "Die Tatsache, dass Informationen, die durch SSL geschuetzt und nur zu einer Seite geschickt werden sollten, im Klartext an Dritte geschickt werden, ist sehr bedenklich."
In Tests konnte die c't-Redaktion die bei einem Reload an Alexa uebermittelteten Daten protokollieren. Sie enthielten die komplette URL der erneut geladenen Seite. Auch beim Reload von https-Seiten wurden Daten an Alexa uebermittelt. Diese enthielten jedoch nur die URL der letzten unverschluesselt angezeigten Seite -- Informationen zur verschluesselten https-Seite konnten wir nicht entdecken. Da wir jedoch bisher keine intensiven Tests durchfuehren konnten, wollen wir nicht ausschliessen, dass der Internet Explorer unter bestimmten Umstaenden auch Informationen zu verschluesselten Seiten an Dritte sendet. Bei den besonders kritischen URLs aus dem lokalen Netz uebetrug der Microsoft-Browser lediglich den allgemeinen Text "Intranet-URL".
Das Problem tritt zumindest bei Internet Explorer 6 auf -- ob auch andere Versionen betroffen sind, ist derzeit noch unklar. Von Microsoft liegt bisher keine Stellungnahme vor. Wer den Internet Explorer einsetzt und die uebertragung von URLs an Dritte vermeiden will, sollte die Funktion "Verwandte Links anzeigen" ueberhaupt nicht nutzen oder zumindest nach jedem Einsatz alle Internet-Explorer-Fenster schliessen und den Browser neu starten.
