Sie sind hier: Zentrale | Sicherheit | Sicherer Surfen
Unterthemen: Referrer
 Harry Boeck - Heimserver

Sicherer Surfen

Surfen bei gleichzeitigem Ansehen von privaten Seiten

Alias: Vorsicht vor automatisch übermitteltem "Referrer"...

Problem

Es gibt Nutzer, die offenbar Email-Konten in öffentlichen Diensten wie http://www.freemail.web.de/ nutzen (und sicherlich auch noch jede Menge anderer Konten, z.B. zum Einkaufen oder zum Online-Banking). Wer dies tut und keinen vom Webbrowser gesonderten Email-Client oder sonstiges Verwaltungsprogramm verwendet, also mit anderen Worten z.B. die Emails oder sein Bankkonto oder was auch immer mit Hilfe seines Browsers über die WWW-Bedienoberfläche des Dienstes verwaltet, und dann in einer geöffneten Email oder sonstwie aus einem der an dieser Bedienoberfläche beteiligten Browserfenster heraus einen Link nach sonstwo im Internet aktiviert, riskiert, seinen momentan gerade in Benutzung befindlichen Konten-Zugang öffentlich und dem Mißbrauch preiszugeben...

Auf meinem Server treffen dann Anfragen ein in der Art
Referrer: https://freemailng1102.web.de/online/msg/html_popup.htm?Sitzungsdaten... Get <Seite auf meinem Server>
oder
Referrer: http://www.arcor.de/ums/ums_maillesen.jsp?ordnername=Posteingang&umid=####&sortieren=datume Get <Seite auf meinem Server>

Das ist ungefähr dasselbe, wie wenn man sich in einer wildfremden Stadt hinstellt und ruft:
"Hey Leuuuuute! Ich stelle hier mal mein AUUUTOOO ab! Der Schlüssel steeeckt noch! Der Motor läuuuuft noch! Aber dass mir niemand eiiinsteigt! Ich gehe nur mal schnell eiiinkaufen und bin in einer Viertelstunde wieder zurüüüühück!"

Sowas wie Phishing scheint heutzutage überhaupt nicht notwendig zu sein, um an aktive Sizungen zu gelangen. Nur mal irgendwo eine interessante Nachricht plaziert (vielleicht auch mal bei eBay ein verlockendes Angebot hingesetzt) und schon gibt es jede Menge Leute, die aus ihren laufenden Sitzungen heraus freimütig im Internet herumsurfen...

Gefahren

Mit dem automatisch übertragenen Daten erhält derjenige, dessen Internet-Server Sie gerade ansteuern, Informationen über das letzte Dokument, das Sie sich im benutzten Browserfenster gerade angeschaut hatten und - falls es sich um ein dynamisch erzeugtes Dokument handelt und die Parameter dafür in die Adresse des Dokuments eingebaut wurden - Informationen über den Inhalt dieses Dokuments.

Falls diese Parameter irgendetwas enthalten, womit Sie Zugriff auf irgendwelche ihnen persönlich gehörenden Dinge erhalten (wie auf Ihr Bankkonto, Ihr Konto und Ihren Einkaufskorb im Online-Shop, Ihre Daten in einem Forum usw.), dann haben Sie diese mit Ihrem Wechsel auf einen anderen Server für den Besitzer dieses Servers offengelegt.

Wenn die Webapplikation so organisiert ist, dass die Daten über eine zusätzliche Stufe innerhalb des Clients und des Serves verschlüsselt werden oder sonstwie organisiert ist, dass die Daten in der Adresszeile nicht zum Mißbrauch ausreichen, sollte das kein tiefgreifendes Problem darstellen. Keine ordentlich organisierte Webapplikation überträgt auf diese Weise Passwörter oder Sitzungskennungen oder irgendwas ähnliches. Es kann aber sein, dass es den einen oder anderen Diensteanbieter gibt, der aus Kompatibilitätsgründen eben doch auf diese Methode der unsicheren Datenübertragung setzt.

WISSEN SIE DAS ?!

Wissen SIE, was eventuell vorhandene Nummern und Werte bedeuten, die in der Adresszeile stehen?
Können SIE die Hand ins Feuer legen, dass es fremden Menschen mit krimineller Energie nicht möglich ist, mit den soweit zugänglichen Daten und etwas weiterer Recherche IHRE Konten auf Webservern zu mißbrauchen?

Was dann passiert, wird nur noch vom Inhalt der mißbrauchten Daten begrenzt...

technischer Hintergrund

Das HTTP-Protokoll sieht vor (und verschiedene Programmhertsller nutzen es bzw. die Browserhersteller unterstützen es blindlings), dass die komplette Adresszeile der Browserseite, die VORHER im Browser geöffnet gewesen war, als sogenannter "Referrer" bei jedem HTTP-Request mitgeschickt wird.
Das ist - wie gesagt - NICHT die Adresszeile, die Sie von MEINEM Server (oder welchen Sie in diesem Moment gerade aufsuchen) anfordern, sondern die, die Sie VORHER besucht HATTEN!
Diese Adresszeile kann nun alle möglichen Zusatzdaten enthalten, die bei dynamisch generierten Webseiten (bei allen sogenannten Webapplikationen) als Parameter für die jeweils aktuell angeforderte Seite zum Server übermittelt werden, worunter in erster Linie sowas wie Sitzungs-Kennungen, Benutzernamen, Passwörter und ganze Ausschnitte aus Dokumenteninhalten gehören.

Dies wurde so eingerichtet, obwohl es NIEMANDEN auf der Welt etwas angeht, was ein Individuum AUßERHALB (VORher genauso wie NACHher) des Besuches einer beliebigen öffentlichen Einrichtung (oder Website) sonst noch für Aktivitäten im Rahmen des gesetzlich tolerierbaren entfaltet, und obwohl es technisch absolut irrelevant ist, was die vorherige Seite beim Aufbau einer neuen Seite war.

Technisch durchaus sinnvoll ist die Verknüpfung von Seiten im Rahmen von Webapplikationen AUF DEM CLIENT und INNERHALB einer Webapplikation, einschließlich eventueller Möglichkeiten, Daten über diese Verknüpfungen innerhalb der Webapplikation auszuwerten und gegebenenfalls einen Austausch mit dem Server zu führen, der diese Applikation bereitstellt.
Aber nichts davon erhält dadurch eine Berechtigung, erstens generell und zweitens applikationsübergreifend öffentlich quer durch Internet geschickt zu werden.

Aber das ist nur meine privat-persönliche Meinung bzw. Wunschvorstellung. Protokolldefinierer und Browserhersteller sehen das anders.

Schutz

In moderneren Browsern ist es möglich, zu verhindern, dass zwischen gesicherten und ungesicherten Verbindungen gewechselt wird.
Einige der Besucher meines Serves mit diesem Sicherheits-Problem, die übrigens bislang durchweg Internet-Explorer/WindowsXP-Nutzer sind, sollten vielleicht darüber nachdenken, eben jene Beschränkung in Benutzung zu nehmen! Andernfalls können sie auch gleich ganz auf Usernamen und Passwörter verzichten und ihre Mail- oder sonstigen Konten global ins Internet stellen...

Die genannte Beschränkung ist nur die halbe Miete. Ich weiß nicht, ob sie verhindert, von einer https-Adresse auf eine andere https-Adresse zu wechseln, was nämlich exakt dasselbe Gefahrenpotential hat. Viel sicherer ist es, Browserfenster, in denen soeben noch vertrauliche Dinge zu sehen waren, zu schließen, bevor man sich ANDEREN Dingen zuwendet, oder zumindest zum Surfen in anderen Bereichen ein NEUES Fenster aufzumachen (das erfordert das Minimum eines Rechtsklicks und einer Menüauswahl, was aber selbst von sehr unbegabten Nutzern zu schaffen sein sollte...).

Letzteres sollte man sich einfach nur zur ANGEWOHNHEIT machen. Es ist GANZ EINFACH, glauben Sie mir!

Für Benutzer von Mozilla-Derivaten gibt es die Möglichkeit, ein Plugin zu installieren, das dabei hilft, diesen "Referrer" beim Surfen zu unterdrücken. Ich selbst bevorzuge eher ein schlankes System mit minimalen Zusätzen, solange es sich mit einem Minimum an überlegtem Handeln auch erreichen läßt...