News 15.08.2007, 12:01 Uhr

Internet Explorer mit FTP-Lücke

Wenn der Internet Explorer sich als FTP-Client versucht, kommts nicht gut. Er speichert unter bestimmten Umständen die Login-Daten in der hochgeladenen HTML-Datei.
Der Internet Explorer kann auch dazu verwendet werden, Dateien per FTP hochzuladen. Dabei verhält er sich laut Sicherheitsexperte Brian Krebs aber grobfahrlässig. Greift man auf einen FTP-Server zu, speichert eine Seite lokal und lädt sie nach dem Bearbeiten wieder hoch, so fügt der IE eine Kommentarzeile in den Quellcode ein, in welcher sich neben der URL auch Benutzername und Passwort befinden. Diese Zeile ist dann für jedermann ersichtlich, der sich den Quelltext dieser Seite anzeigen lässt. Betroffen sind die Versionen 6 und 7 des Browsers.

Autor(in) David Lee



Kommentare
Avatar
Adriano
15.08.2007
Ich benutze oft FTP-IE, und bin auch überrascht! Es ist jedoch nicht so wie es geschrieben ist. Die Prozedur ist: - Explorer öffnen - FTP Seite angeben - HTML/HTM Seite öffnen (NICHT KOPIEREN) - Die geöffnete Seite dann speichern (Es ist nicht ein IE-Fenster) - Die gespeicherte Seite hat nun das Passwort Da ein Benutzer die Seite Kopiert und nicht zuerst öffnet und speichert sollte es nicht vorkommen, aber lustig ist es trotzdem :D Mit dem Update von Heute ist es aber immer noch nicht Korrigiert...

Avatar
Adriano
15.08.2007
Ich weiss nicht ob es ein Problem von IE7 ist... IE7 unterstützt prinzipiell keine FTP! Nach der Beta Version wurde nur noch ein Viewer implementiert, womit es nicht möglich ist, eine Datei hochzuladen! FTP ist nur noch mit dem Explorer möglich, nicht mit dem IE!

Avatar
Juerg Schwarz
16.08.2007
Ach Ich benutze oft FTP-IE, und bin auch überrascht! Es ist jedoch nicht so wie es geschrieben ist. Die Prozedur ist: - Explorer öffnen - FTP Seite angeben - HTML/HTM Seite öffnen (NICHT KOPIEREN) - Die geöffnete Seite dann speichern (Es ist nicht ein IE-Fenster) - Die gespeicherte Seite hat nun das Passwort Da ein Benutzer die Seite Kopiert und nicht zuerst öffnet und speichert sollte es nicht vorkommen, aber lustig ist es trotzdem :D Mit dem Update von Heute ist es aber immer noch nicht Korrigiert... Und WER sagt, dass alle Benutzer dies so machen? Und wenn nicht? Auf jeden Fall für mich kommt so ein Browser nicht mehr in Frage. Und wenn es denn sein MUSS nur in einer VM. juerg