Die Veröffentlichung von Sicherheits- und Datenschutz-relevanten Informationen auf öffentlich einsehbaren Status-Seiten ist ein weit verbreitetes Problem bei Web-Servern, darunter ebenfalls bei Banken, Porno-Anbietern und anderen Portalen. Die Ursache dieses Problems liegt im Apache-Modul mod_status, das eigentlich als harmlos angesehen wird.
Das Modul präsentiert über die Seite /server-status Verwaltungsinformationen zur Last auf einem System; darunter auch die aktuell aktiven Verbindungen ? inklusive URL und IP-Adressen der Clients. Diese Informationen sind für den Admin nützlich; in fremden Händen können sie jedoch zum Problem werden. Wenn etwa eine Pornoseite die personenbeziehbaren IP-Adressen der Kunden von livegranny.com öffentlich macht oder die Deutsche Post zumindest Teile der Session-ID von gerade durchgeführten Transaktionen ihres Bezahldienstes Postpay preis gibt, wird klar, dass diese Informationen durchaus schützenswert wären.
Die Session-ID bei einem Bezahldienst wäre durchaus schützenswert, erlaubt sie es doch die Sitzung des angemeldeten Benutzers zu kapern.
Trotzdem präsentieren hunderte von Servern diese Informationen völlig frei zugänglich; über Suchmaschinen sind sie leicht auffindbar. Die Santander-Bank hat kurz nach Bekanntwerden des Problems den Zugriff auf die Statusseite gesperrt; bei mindestens einer deutschen Bank besteht hingegen immer noch Handlungsbedarf. Übrigens verraten auch scheinbar harmlose Informationen unter Umständen nützliche Details über Pfade, Servernamen oder Parameter die bei der Vorbereitung eines Angriffs nützlich sein könnten. Sicherheitsbewusste Admins beschränken deswegen den Zugriff auf solche Informationen zumindest auf bestimmte IP-Adressen oder verlangen eine Authentifizierung.
Kommentare