IE6: Vorsicht mit den Sicherheits-Features

Damit genug zum allgemeinen Hintergrund und zum jüngsten Problem in der realen Welt, von dem in NTBugtrack berichtet wird. Die meisten Benutzer des IE6 werden auf P3P vertrauen, denn das ist der Standard. Wenn alles perfekt läuft, bietet P3P eine recht gute Sicherheit, allerdings nur, wenn P3P auf entsprechende Tags zurückgreifen kann, die es auf einer Website findet und damit die Regeln des Benutzers umsetzt.

Ungünstigerweise ermöglicht es der Windows Media Player (WMP) übelwollenden Websites aber, mit Hilfe eines einfachen Java-Codes die eindeutige WMP-ID Ihres Browsers aufzunehmen. Die ID kann dazu benutzt werden, die Sites, die der Benutzer im Internet aufruft, zurückzuverfolgen. Außerdem kann man damit als SuperCookie alle neuen P3P-Schutzmaßnahmen umgehen, mit denen der IE6 ausgestattet ist. SuperCookies funktionieren auch in anderen Versionen des IE, da man sich aber auf P3P verlässt, wird die Schwachstelle noch kritischer.

SuperCookies funktionieren wie IDs zum Tracking von Werbung und umgehen die Blockierprogramme für Cookies. Mit Hilfe dieser eindeutigen ID können Websites sogar gelöschte Cookies rekonstruieren.

Standardmäßig lässt der WMP die Festlegung einer eindeutigen ID für Ihr System durch die Websites zu. Dennoch scheint auch ein Ausschalten dieser Option die Funktionsweise dieser Schwachstelle nichts zu verändern. Die einzigen Möglichkeiten, SuperCookies komplett zu entfernen, besteht in der Deaktivierung von Java und/oder der vollständigen Entfernung des WMP. Richard Smith, der den Begriff des „SuperCookies“ geprägt und den NTBugtrack-Bericht darüber verfasst hat, sagt, dass er Microsoft bereits im März 2001 über das Problem in Kenntnis gesetzt hat.

In gewisser Weise ist Microsoft das Problem der SuperCookies im letzten Jahr auch angegangen, aber die Lösung erscheint doch recht undurchsichtig. Es ist eher unwahrscheinlich, dass der Durchschnittsbenutzer davon erfährt, geschweige, dass er die Veränderungen gemäß dem Microsoft Bulletin MS01-029 vornimmt.

Aber tragen Sie die Nase als Benutzer des Netscape Communicators nicht zu hoch. Laut einem anderen Bericht im NTBugtrack tritt dieselbe Schwachstelle auch in Netscape 4.79 und anderen Versionen auf, wenn das WMP-Plug-In benutzt wird und JavaScript aktiviert ist.

Laut Aussage von Smith ist die WMP Player-ID in der Windows-Registry in diesen Registry-Schlüsseln abgespeichert:

HKEY_CURRENT_USER\Software\Microsoft\
Windows Media\WMSDK\Generalstring
Wert: „UniqueID“

oder

HKEY_USERS\<benutzername>\Software\
Microsoft\Windows Media\WMSDK\Generalstring
Wert: „UniqueID“

Die ID kann mit Regedit durch die Eingabe eines neuen Codes geändert werden. Ich sehe allerdings nicht, inwieweit das hilfreich wäre, außer Sie geben bei jedem Besuch im Web einen neuen Code ein.

Obwohl das technisch gesehen ein Schwachpunkt des WMP ist, wird er nur über Browser realisiert und damit eben doch zum Browser-Problem. Schlimmer noch, er führt im Browser zu einem Sicherheits- und Datenschutzproblem, das nur durch den kompletten Wechsel zu einem anderen Programm behoben werden kann.

Wenn sie die SuperCookie-ID Ihres Computers wissen wollen, gehen Sie auf diese Demo-Seite.