News 26.08.2013, 12:45 Uhr

Online-Chaos an der Universität Zürich

Bei der Registrierung von Vorlesungen an der Uni Zürich hat sich ein Sicherheitsloch bemerkbar gemacht. Das Architekturproblem betrifft anscheinend die ganze Schweiz
Die Geschichte wiederholt sich von Semester zu Semester: Wegen des beschränkten Platzangebots einzelner Vorlesungen stürmen die Studierenden der Universität Zürich die Buchungswebseite. Zwar wurden die Buchungsdaten der einzelnen Institute auf verschiedene Tage verteilt, um die Server zu entlasten. Dennoch erschien beim Log-in rund eine halbe Stunde lediglich eine Fehlermeldung.
Gravierend ist zudem eine Sicherheitslücke, die Fremden den Zugriff auf die Plattform ermöglicht. Wird nach der Buchung die «Logout»-Funktion genutzt, verlässt der Nutzer zwar die Modulbuchung. Bei einem erneuten Öffnen ist er jedoch sofort wieder angemeldet – ganz ohne Passworteingabe. 
Der Universität Zürich ist das Problem bereits bekannt, bestätigt Pascal Bachmann, CIO der Informatikdienste: «Der Fehler bei der Authentifizierung ist weniger eine Sicherheitslücke als ein grundlegendes Architekturproblem.» Tatsächlich sei das Problem, dass eine übergreifende Lösung für verschiedene Universitäten eingesetzt wird, die AAI-Infrastruktur von Switch. Dadurch sei ein normales Log-out nicht ohne Weiteres möglich. Betroffen sind nicht nur Modulbuchungen, sondern auch verschiedene E-Learning-Plattformen, die dieses System nutzen. «Diese Schwachstelle muss man hinnehmen, wenn man vom Komfort eines einzigen Log-ins für alle Hochschulen profitieren will», meint Bachmann. Mit einer schnellen Lösung des Problems kann also nicht gerechnet werden. Dafür weist die Universität Zürich an diversen Stellen darauf hin, den Browser nach der Sitzung zu schliessen. Dann verfällt die Sitzung und der Nutzer muss sich erneut einloggen. Ein zusätzliches Löschen der Cookies ist in diesem Fall nicht nötig.
Update: Mittlerweile hat die Universität Zürich reagiert eine Warnmeldung eingebaut, die beim Logout erscheint.
Wer ganz sicher gehen will, verwendet ein Inkognito-Fenster (Chrome), den privaten Modus (Firefox) oder InPrivate-Browsen (Internet Explorer), um die Buchung durchzuführen. Dabei werden die gefährlichen Cookies gar nicht erst gespeichert.


Kommentare

Avatar
mariol
27.08.2013
viel Lärm um nichts Die Begründung ist einfach lächerlich. Es geht um einen Fix welche man in "normalen" Umgebungen erkennen, bestellen und erwarten soll. Aber wenn hochrängige Managers (Uniprofessoren inbegriffen) lieber den Kopf in den Sand stecken und jegliche Kritik als Persönlichkeitsverletzung hinnehmen, kommt der Fortschritt auch nicht weiter. Es ginge sonst ganz einfach: Fix beim Lieferant bestellen (es hat ja Garantieanspruche, oder?) und basta. Alles andere ist nur PEINLICH.