Internet-Explorer-Patch verhindert User-Infos

Microsoft stellt einen Artikel in seiner Knowledge-Base zur Verfügung, in dem ein Patch für den Internet Explorer angkündigt wird. Mit dem Update soll es schlicht nicht mehr möglich sein, Benutzer-Informationen in HTTP- oder HTTPS-Adressen zu ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o1] am ++--

Na wird aber auch Zeit... Naja bisher isses aber auch erst eine Ankündigung... Mal abwarten... Aber ich sehs chon, es beginnt in diesem Thread sicherlich bald wieder eine Anti-IE und Pro-Mozilla Diskussion, da braucht man ned hellsehen können

[re:1] am ++--

Antwort auf den Kommentar von Yaenzi: Wie sagt man so schoen: So sicher wie das Amen in der Kirche.

[o2] am ++--

lol... Klasse, MS entfernt dadurch ein FEATURE aus dem IE... Sprich, die ganzen tollen @Domains wie sie Strato, 1&1, etc. anbieten werden wohl nicht mehr funktionieren.
Tolle Sache, dabei hätten sie doch eigentlich nur aus einem String ein Zeichen herausfiltern müssen. Dies hat wohl nicht geklappt, also sperrt man das Feature komplett. Spitze! :)

[re:1] am ++--

1. @Domains funzen weiterhin. 2. Dieses "Feature" vertösst vollkommen gegen RFC Nummer waswweißich, wo der Aufbauf von URIs eindeutig beschrieben ist.

[re:2] am ++--

"vollkommen" ist mal derbe übertrieben.
In der RFC 2396 gilt das als allgemeine URI-Syntax.
Zwar hat die RFC 1738 und 1945 eine eigene Definition, aber nun gut...
Wieso funktionieren @Domains denn weiterhin?
Es ist doch so, dass das wegen dieser Sicherheitslücke gemacht wird, die Ausnutzung von Sachen wie http://www.microsoft.com%01@sonsteineseite.de ermöglicht. Und
deswegen soll soetwas nicht mehr möglich sein. Was ist da dann der Unterschied zwischen http://franz@muelle.de ?

[re:3] am ++--

Antwort auf den Kommentar von ZeroMC Dem IE fehlen soviele Features, da kommts auf das eine auch nicht mehr darauf an. Weiss jemand nach wievielen Tagen (Stunden?) Mozilla ein Update für eben diese Lücke herausgebracht hat und wie lang Microsoft bisher nicht in der Lage war, einen Patch rauszugeben? Jedem dass seine, ich setze auf die Alternativen: Sicher, besser und komfortabler, was will man mehr? Vernichtet das Monopol.

[re:4] am ++--

Vollkommen ist vollkommen korrekt. Der Aufbau ist eindeitg mit Protocol://subdomain.domain.tld:port/path definiert. Da hat ein @ und ein Doppelpunkt nix drin zu suchen, es sei denn, das @ ist Teil der Domain selbst. Verstehste mich? Bei @Domains wird NICHT das User-Passwort-Feature genutzt, sondern das @ wird definitiv als Teil der Domain betrachtet. http://franz@muelle.de wird nicht an muelle.de geleitet.

[o3] am ++--

Wenn ich den Artikel richtig verstehe, verbietet MS mit dem Patch nur Links wie http://user:passwort@www.geheim.de (diesen .htaccess-Krams umgehen also), aber nicht das andere Zeug...

[o4] am ++--

Beachtet bitte auch, dass sich das ganze via Registrykey auch wieder aktivieren lässt (siehe KB-Artikel). Das haben die chip.de-Pappnasen mal schlichtweg überlesen.

[o5] am ++--

@ZeroMC: Das von dir angesprochene Prozent01-Zeichen ist nicht das einzige Problem. Das Problem ist auch noch der Benutzer. Wieviele Benutzer wissen nicht, dass www.paypal.com@www.beliebigeseite.diesichals.paypalausgibt.undden.kunden.nacherneuten.kreditkartendaten.abfraegt.de *nicht* auf PayPal.com linkt? Der Ottonormalsurfer weiss das nicht - woher auch, wird ja nicht durch die Muttermilch eingesogen!? Daher ist das gar nicht so schlecht und würde auch einem Mozilla oder Opera nicht schlecht tun. Oder alternativ: Bei Anwendung einer solchen URL eine Warnmeldung ausgeben, die klarstellt, was davon wirklich als Adresse interpretiert wird.