Offene Scheunentore bei Web-Hostern

29. Juni 2002, 11:14
posten

Sicherheitsrisiko für vertrauliche Web-Daten

Auf vielen Websites sind vertrauliche Daten nicht ausreichend gegen fremde Einblicke geschützt. Bei Providern gibt es Sicherheitslöcher, durch die Kundendaten und Passwörter leicht ausspioniert oder gar manipuliert werden können, warnt das Computermagazin c't in der aktuellen Ausgabe .

Zugriff auf sensible Daten

Schuld an dem Problem sind schlecht konfigurierte Webserver der Provider. Diese ermöglichen es, mit einfachen Skript-Sprachen wie PHP oder Perl tief in sicherheitsrelevante Bereiche des zugrunde liegenden Systems einzudringen. "Wir hatten Zugriff auf viele Verzeichnisse und Dateien, die nur der Administrator zu Gesicht bekommen sollte", so c't-Redakteur Jo Bager, "zum Beispiel Passwort-Listen oder Konfigurationsdateien, die für den eigentlichen Betrieb des Servers zuständig sind". Damit könnte ein Eindringling beispielsweise in einem Web-Shop vertrauliche Kundendatenbanken ausspionieren oder Preisverzeichnisse manipulieren.

Interaktive Elemente

Skriptsprachen wie PHP und Perl werden eingesetzt, um interaktive Elemente auf einer Web-Seite zu gestalten, zum Beispiel Online-Shops, Gästebücher oder Foren. Heutzutage stellt so gut wie jeder Provider seinen Kunden diese Programmierumgebungen zur Verfügung - offensichtlich häufig ohne die damit verbundenen Risiken zu beachten. Dabei gibt es durchaus eine Reihe von Möglichkeiten, Skripten den Zugriff auf fremde Server-Bereiche zu verwehren. Das zeigte sich auch am Beispiel einiger Provider, bei denen die c't-Redakteure kein Sicherheitsloch aufspüren konnten. (red)

Link

c't

Share if you care.