Offene Scheunentore bei Web-Hostern
Sicherheitsrisiko für
vertrauliche Web-Daten
Hannover (ots)
Auf vielen Websites sind vertrauliche Daten nicht ausreichend gegen fremde Einblicke geschützt. Bei Providern gibt es Sicherheitslöcher, durch die Kundendaten und Passwörter leicht ausspioniert oder gar manipuliert werden können, warnt das Computermagazin c't in der aktuellen Ausgabe 14/02.
Schuld an dem Problem sind schlecht konfigurierte Webserver der Provider. Diese ermöglichen es, mit einfachen Skript-Sprachen wie PHP oder Perl tief in sicherheitsrelevante Bereiche des zugrunde liegenden Systems einzudringen. "Wir hatten Zugriff auf viele Verzeichnisse und Dateien, die nur der Administrator zu Gesicht bekommen sollte", so c't-Redakteur Jo Bager, "zum Beispiel Passwort-Listen oder Konfigurationsdateien, die für den eigentlichen Betrieb des Servers zuständig sind". Damit könnte ein Eindringling beispielsweise in einem Web-Shop vertrauliche Kundendatenbanken ausspionieren oder Preisverzeichnisse manipulieren.
Skriptsprachen wie PHP und Perl werden eingesetzt, um interaktive Elemente auf einer Web-Seite zu gestalten, zum Beispiel Online-Shops, Gästebücher oder Foren. Heutzutage stellt so gut wie jeder Provider seinen Kunden diese Programmierumgebungen zur Verfügung - offensichtlich häufig ohne die damit verbundenen Risiken zu beachten. Dabei gibt es durchaus eine Reihe von Möglichkeiten, Skripten den Zugriff auf fremde Server-Bereiche zu verwehren. Das zeigte sich auch am Beispiel einiger Provider, bei denen die c't-Redakteure kein Sicherheitsloch aufspüren konnten.
Titelbild c't 14/2002: www.heise.de/presseinfo/bilder/ct/02/ct142002.jpg
Aktuelle Meldungen aus der Heise Medien Gruppe finden Sie unter http://www.heise.de/presseinfo
Unter http://www.heise.de/presseinfo/mail.shtml können Sie sich für den Mail-Service anmelden. Dann erhalten Sie automatisch jede neue Pressemitteilung aus der Heise Medien Gruppe per E-Mail.
Pressekontakt:
Ihre Ansprechpartnerin für Rückfragen:
Anja Reupke
Heise Medien Gruppe
Presse- und Öffentlichkeitsarbeit
Telefon: 05 11/53 52-561
Fax: 05 11/53 52-563
E-Mail: ar@presse.heise.de
Original-Content von: c't, übermittelt durch news aktuell