Thema der Woche

29. Juni 2004

Minimale Browser-Rechte

In den vergangenen Wochen haben [externer Link] neue Sicherheitslücken des Internet Explorers (IE) wieder einmal die Bedeutung der Prinzips minimaler Rechtevergabe betont: Selbst ein mit allen Sicherheits-Updates versehener Browser war (bzw. ist) durch die aktuellen Schwachstellen gefährdet, sofern keine restriktiven Sicherheitseinstellungen die Ausführung von Angriffscode verhindern, für den schlichtweg noch kein Patch vorliegt. Auch die Nutzung und restriktive Einstellung des IE-Zonenmodells ist zwar keine Garantie für Sicherheit; minimale Rechte für "beliebige" Webseiten sowie – sofern möglich – auch für lokale HTML-Dateien vermindern aber die Angriffsfläche erheblich.

Durch das Zonenmodell lässt sich erreichen, dass der Browser jede nicht explizit als "vertrauenswürdig" eingestufte Website nur mit minimalen Rechten interpretiert – bei entsprechend [externer Link] restriktiver Einstellung der "Internet"-Zone also gänzlich ohne aktive Inhalte (Javascript, Java, ActiveX usw. – Downloads sollte man allerdings auch für die Internet-Zone freigeben, falls eine entsprechende Content-Security-Software gegen Malware eingerichtet ist). Sofern durch die Administration nicht per [externer Link] Gruppenrichtlinie verboten, können Anwender bei Bedarf vertrauenswürdigen Webseiten mit wenigen Mausklicks höhere Rechte zugestehen, sodass dann auch Sites wieder "funktionieren", die – entgegen den Empfehlungen des [externer Link] W3C und des [externer Link] BSI – beispielsweise Javascript unbedingt zur Darstellung oder Navigation benötigen. Allerdings ist hierzu natürlich eine gewisse Weiterbildung der Anwender notwendig.

Falls lokale Anwendungen keine erhöhten Berechtigungen für HTML-Dateien auf der eigenen Festplatte erforderlich machen, kann man durch direkten Zugriff auf die Windows-Registry auch die Sicherheitseinstellungen für die Zone "Arbeitsplatz" modifizieren, die über die Browser-Einstellungen standardmäßig nicht verfügbar sind (s. a. "PS"). Microsoft hat hierzu die Anleitung [externer Link] "Verschärfen der Sicherheitseinstellungen für die Zone für den lokalen Computer in Internet Explorer" veröffentlicht – weitergehende Informationen zu den entsprechenden Registry-Einträgen enthält der Knowledge-Base-Artikel [externer Link] "Beschreibung der Registrierungseinträge für Internet Explorer-Sicherheitszonen".

Auch die Verwendung eines weniger exponierten Web-Browsers als dem Internet Explorer dürfte derzeit das Risiko für Attacken durch Angriffscode in Webseiten deutlich mindern. Allerdings steht zu bedenken, dass kein alternativer Browser derzeit ein Zonenkonzept unterstützt, dass eine selektive Ausführung aktiver Inhalte ermöglicht – um auch nur bestimmten Websites beispielsweise Javascript zu gestatten, muss man dies allen Seiten erlauben, was ein höheres Risiko bedeutet, wenn dann für den bewussten Browser doch einmal eine Schwachstelle entdeckt wird. Es gilt hier also die Risikominderung durch die geringere Verbreitung und Ausforschung alternativer Browser gegen den Sicherheitsgewinn durch minimale Rechtevergabe in einem "anfälligeren" System abzuwägen.

PS: Durch entsprechende Modifikationen in der Registry ist es auch möglich, die Sicherheitszone "Arbeitsplatz" in den Interneteinstellungen sichtbar zu machen sowie zusätzliche Zonen für eine feinere Rechteverwaltung anzulegen. Die notwendigen Informationen enthält der bereits angesprochene Knowledge-Base-Artikel [externer Link] "Beschreibung der Registrierungseinträge für Internet Explorer-Sicherheitszonen".

zum nächsten Thema der Woche

zum vorigen Thema der Woche

Valid HTML 4.01! | Valid CSS!

Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per  E-Mail. Vielen Dank.