Netzpolitik
Offene Scheunentore bei Web-Hostern
Sicherheitsrisiko für vertrauliche Web-Daten
Auf vielen Websites sind
vertrauliche Daten nicht ausreichend gegen fremde
Einblicke geschützt. Bei Providern gibt es Sicherheitslöcher,
durch die Kundendaten und Passwörter leicht ausspioniert
oder gar manipuliert werden können, warnt das
Computermagazin c't
in der aktuellen Ausgabe .
Zugriff auf sensible Daten
Schuld an dem Problem sind schlecht konfigurierte
Webserver der Provider. Diese ermöglichen es, mit
einfachen Skript-Sprachen wie PHP oder Perl tief in
sicherheitsrelevante Bereiche des zugrunde liegenden
Systems einzudringen. "Wir hatten Zugriff auf viele
Verzeichnisse und Dateien, die nur der Administrator
zu Gesicht bekommen sollte", so c't-Redakteur Jo Bager,
"zum Beispiel Passwort-Listen oder Konfigurationsdateien,
die für den eigentlichen Betrieb des Servers zuständig
sind". Damit könnte ein Eindringling beispielsweise
in einem Web-Shop vertrauliche Kundendatenbanken
ausspionieren oder Preisverzeichnisse manipulieren.
Interaktive Elemente
Skriptsprachen wie PHP und Perl werden eingesetzt,
um interaktive Elemente auf einer Web-Seite zu gestalten,
zum Beispiel Online-Shops, Gästebücher oder Foren. Heutzutage
stellt so gut wie jeder Provider seinen Kunden diese
Programmierumgebungen zur Verfügung - offensichtlich
häufig ohne die damit verbundenen Risiken zu beachten.
Dabei gibt es durchaus eine Reihe von Möglichkeiten,
Skripten den Zugriff auf fremde Server-Bereiche zu verwehren.
Das zeigte sich auch am Beispiel einiger Provider, bei
denen die c't-Redakteure kein Sicherheitsloch aufspüren
konnten. (red)