Schweres Sicherheits-Leck erlaubte Zugang zu GMX, Web.de und 1&1

Nutzer, die ihr E-Mail-Postfach bei einer der United Internet-Marken - also Web.de, GMX oder 1&1 - haben, schwebten bis vor wenigen Tagen ständig in der Gefahr, dass Unbefugte Zugang zu ihrer elektronischen Post bekommen. mehr... E-Mail, Gmx, mailing Bildquelle: GMX E-Mail, Gmx, mailing E-Mail, Gmx, mailing GMX

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Es gibt keine "Lecks", sondern nur Hintertüren...
 
"Nun musste man einen Nutzer nur noch dazu bekommen, in einer zugeschickten E-Mail einen Link anzuklicken!" NUR....ergo völlig ausgeschlossen das normaldenkende menschen darauf reinfallen könnten...
 
@Warhead: Das mag für Massen-Spams in weitreichendem Maße zutreffen. Bei gezielten Attacken gegen Einzelpersonen ist dies viel einfacher zu erreichen, da man die Mail leicht auf die Person des Opfers zurechtschneidern kann und damit einen viel höheren Vertrauensvorschuß hat.
 
Aha, waren das nicht die Anbieter, welche mit erhöhter Sicherheit "Email made in Germany" geworben haben bzw. werben? Pruuuuust...
 
@Bengurion: Problem ist doch behoben, wo Problem ?
 
@iPeople: Das Problem ist, dass besagte Anbieter versuchten, aus der NSA Affäre auch noch Gewinn zu schlagen, also ganz im Stile der Versicherungsagenturen von der Angst der Menschen zu profitieren. Es wurde einfach mal "Made in Germany" und "Supersicher" als Label draufgeklatscht, ungeachtet dessen, wie es um die Sicherheit der Anbieter wirklich bestellt ist - quod erat demonstrandum (anhand dieser News).
Es existieren auch deutsche Mailanbieter, die nicht auf den Werbezug aufgesprungen sind, und dennoch bessere Sicherheit als die großen Werbenden bieten.
 
@kleingeldhorter: Richtig, die man sogar mit Namen nennen kann, wie z.b. Mailbox.org oder Posteo.de.
 
@kleingeldhorter: Du meinst also, das problem ist schon 2 Jahre bekannt und man hat trotzdem Werbung gemacht?

Es existiert so viel.
 
@Bengurion: Siehe o5. Das ist kein Server Problem, sondern Browser-Sache.
 
@dognose: Nein, in erster Linie ist es Sache des verantwortlichen Administrators und/oder der Entwickler. - siehe o5-re2
 
GMX und Co. vertraue ich schon lange nicht mehr, allein aufgrund der zweifelhaften Geschäftspraktiken mit denen sie versuchen den Leuten ihre kostenpflichtigen Accounts unterzujubeln.
 
@Chiron84: durch Werbung ? Welch unmoralisches Verhalten :D
 
@iPeople: Wie ich sehe bist du dort nicht registriert, sonst wäre dir die penetrante Art mit der sie auf einen falschen Klick spekulieren bekannt. Da bist du nämlich ruck-zuck, weil du in Eile warst, Top-Mail-Kunde und darfst einen Brief schreiben oder anrufen um aus der Nummer wieder raus zu kommen, weil sie sich nicht an geltendes Recht halten dass ein Vertrag auf die gleiche Weise, wie er zustande kam, beendet werden kann. Damit haben die regelmäßig Ärger mit dem Verbraucherschutz, aber 100 die dann lieber zahlen sind wohl denen einen Wert dem's ums Prinzip geht und der sich wehrt. Ich hatte zB auch keine Lust da wegen 40 Euro Stress zu schieben... aber damit haben sie mich halt als Kunde verloren. Und weil 1&1 zu dem Laden dazu gehört, warte ich da auch nur das Ende meiner Vertragslaufzeit ab.
 
@Chiron84: Ist mir auch mal passiert, dass ich bei GMX falsch geklickt habe und plötzlich Top Mail Kunde war, aber was hindert dich daran das innerhalb der bekannten 14 Tage zu widerrufen ? Eine Mail und die Sache war erledigt. Da gibt es null Stress, den man schieben müsste, ich würde da nicht lieber 40 Euro zahlen, nur aus Bequemlichkeit. Mal abgesehen davon, dass das sicherlich fragwürdig ist, wie sie auf Kundenfang gehen.....
 
@Chiron84: Jetzt kommen wir der Sache näher: Du klickst falsch, andere sind schuld ... logisch. BTW, ich habe sogar 2 Accounts dort. Aber aufgrund der Tatsache, nie den Webmailer zu nutzen, ist es mir reichlich egal, was dort "falsch" anklickbar ist.
 
@iPeople: Warum fall ich nur jedes mal wieder auf dich Troll rein...
 
@Chiron84: Wo habe ich getrollt? Du hast Doch eindeutig Dein Fehlverhalten dargelegt. Es auf GMX zu schieben, ist billig. Eigentlich bist Du der Troll dabei.
 
@Chiron84: Ich nutze GMX mit thunderbird. Die Klickerei habe ich somit vom Hals. Brauch den aber nicht wirklich.
 
Es ist völlig "normal", dass ein Webserver - wenn der User Cookies nicht erlaubt - irgendwie den Nutzer weiterhin erkennen muss. Ohne Cookies verwendet man daher meist die Session-ID als Parameter in der Adressleiste.

Das Sicherheitsproblem sind hierbei nun die "Browser": Wenn ich gerade auf mail.php?session=2343r2x23 bin und auf einen anderen Link klicke teilt der Browser dem "neuen" Server mit, dass ich gerade von mail.php?session=2343r2x23 gekommen bin.

Das sollte er aber nicht, denn: Die HTTP RFC sagt eindeutig: Clients SHOULD NOT include a Referer header field in a (non-secure) HTTP request if the referring page was transferred with a secure protocol.
http://www.w3.org/Protocols/rfc2616/rfc2616-sec15.html#sec15.1.3

heißt: Wenn ich das Postfach durch Benutzung von HTTPS besuche, SOLL der Browser einem anderen Server nicht mitteilen von welcher Seite ich kam, also KEINEN Referer setzen! (Dann wird auch keine Session-ID preisgegeben)

Die Benutzung nun NUR noch auf Cookies zu beschränken ist daher der einzige korrekte Ausweg - da die Browser einfach tun, was Sie wollen.

Benutzer des Internet Explorers sind übrigends "Sicher" - Er hält sich seit Version 4.0 daran! :-)

Also, many secure (HTTPS) Web servers store secure information such as credit-card data in the URL during a GET request to a CGI or ISAPI server application. This information can be unwittingly sent in the Referer header when linking out of an "https://" server to an "http://" server elsewhere on the Web. Internet Explorer attempts to prevent this bad practice by not sending the Referer header when transitioning from an HTTPS URL to a non-HTTPS URL.
https://support.microsoft.com/en-us/kb/178066
 
@dognose: gibts von deinem text auch ne kurzfassung? Wenn nicht warte ich auf die verfilmung :)
 
@MarcelP: Soll ich dir vielleicht ein buntes Bild davon malen, würde das helfen? :-)
 
@dognose: vielleicht könntest du es ihm vortanzen?
 
@dognose: gerne ;)
 
@dognose: Nein, der Webserver MUSS die Clients nicht weiterhin erkennen, wenn der Nutzer keine Cookies akzeptiert. Es steht jedem Administrator frei, den Server und die Webapplikation so zu konfigurieren, dass die Verwendung der Teile der Webapplikation, die nicht statuslos sind, nur möglich ist, wenn der Nutzer Cookies akzeptiert. Auch kann man die gesamte Webapplikation auf HTTPS only umstellen, wenn man schon meint, Session IDs in die URL einbauen zu müssen, und man kann bei dieser Gelegenheit auch gleich die Cookies auf "secure" und "http only" setzen.

PS.: Kein normaler Browser sendet übrigens einen Referrer, wenn man von HTTPS kommt - es sei denn die Website beinhält zum Beispiel ein "<meta name="referrer" content="origin">", was in diesem Fallen den Chrome Browser dazu veranlasst, trotzdem einen Referrer zu senden. Wer sagt, dass es nicht in diesem Fall genauso war?
 
@kleingeldhorter: Nun, ich nutze weder 1und1 noch gmx oder web.de - aber ich gehe einfach mal davon AUS, dass ein webmailer komplett über https agiert.

Bzgl. der Cookies hast du natürlich recht. Aber sieh das mal aus "Unternehmer" Sicht: Wenn du Kunden hast, die keine Cookies wollen und die dann deinen Service nicht nutzen können, ist das nicht doll. Die Alternative via "session-id" in der URL ist ja generell nicht schlimm, wenn es dadurch eben nicht zu genannten "Problemen" kommen kann.

Ja, man kann den Anbietern hier unterstellen nicht "weit genug" gedacht zu haben. Eine Sicherheitslücke in DEREN Anwendung ist es aber (technisch gesehen) nicht, da dies normales verhalten von den verwendeten Web-Servern ist. (Außer natürlich die von dir besagten Header sind fälschlicherweise gesetzt, oder es wird wirklich kein https verwendet)
 
@kleingeldhorter: Gerade nochmal etwas recherchiert:

Die Krux ist: Auch WENN der Webmailer HTTPS verschlüsselt arbeitet, genügt es, die Zielseite EBENFALLS via HTTPS erreichbar zu machen, auch wenn die Domain eine andere ist... DANN senden alle Browser fröhlich den Referer mit, weil ist ja dann "sicher".

Aber auch das ist wieder eher ein "Fehler" in den Browsern, wenn du mich fragst. Klar, man kann es serverseitig unterdrücken (dereferer) - aber schon allein die Tatsache, dass Browser hier so "dumm" sind zeugt schon von einem gewissen Problem. Es wäre ein "2-Zeiler" zu prüfen ob die nächste Adresse denn wenigstens zur selben Domain gehört, bevor man den Referer setzt...
 
@dognose: Ich denke nicht, dass die Browser zu dumm sind, sondern, dass das Verhalten so gewollt ist - es war ja nie das Ziel, dass der Zielserver die URL-Parameter des Referrers nicht sehen darf, sondern Ziel, dass ein Außenstehender beim Abhören der Kommunikation eines Anwenders nicht ungewollt Teile aus einer sicheren Verbindung auslesen kann, zu der eben auch die GET-Parameter einer HTTPS-URL gehören.
Dafür zu sorgen, dass keine Sitzungsdaten nach außen dringen, ist hier meines Erachtens nicht Aufgabe der Browserhersteller, sondern eine Designfrage für die Entwickler der Webapplikation.
Zu denken, dass die Browser-Hersteller nicht in der Lage wären, hier den Referrer zu unterdrücken, halte ich für absurd - es ist einfach nicht deren Aufgabe und auch nicht so gewollt, da man ja sonst in ein paar Jahren, wenn es fast ausschließlich HTTPS Seiten gibt, überhaupt keine Referrer mehr hätte.
Der Status einer Applikation gehört eben grundsätzlich nicht in eine normale URL, und wenn doch, dann nur in URLs von APIs, welche JSON, XML, oder was auch immer asynchron an den Client zurück liefern - denn diese Calls werden auch nie in einem Referrer erscheinen.
 
Im Übrigen: Die original Quelle sagt, dass dies nur die mobile Version von web.de, gmx und 1und1 betrifft. Dieses Detail muss wohl "aus versehen" verschütt gegangen sein.

(3te Zeile unter "Zum technischen Hintergrund": https://www.wired.de/collection/latest/so-konnten-fremde-euer-postfach-bei-web-de-gmx-oder-1-1-eindringen)
 
war das nicht klar.... diese müll anbieter haben doch seit jahren nichts mehr an ihrem service geändert.... wozu auch wenn es läuft...
 
Deswegen benutzt man kein Webmail-Gedöns...
Kommentar abgeben Netiquette beachten!

United Internet Aktienkurs in Euro

Apple Aktienkurs -1 Jahr
Zeitraum: 1 Jahr