Microsoft Internet Explorer zu sicher

Statt einem Sicherheitsloch ein Eigentor der entgegengesetzten Art

Zugriffschutz über .htaccess-Dateien gilt als sicher und browser-unabhängig. Doch wer sicherheitsbesessen ist, aber dennoch Microsoft-Browser verwendet, sperrt sich selbst aus.

Zugriffsschutz auf Webseiten gibt es aus allen möglichen Gründen. Weil etwas nur für zahlende Mitglieder bestimmt ist, weil es sich um einen Teil der Website handelt, der nur für Mitarbeiter ("Intranet"), Familie oder Freunde bestimmt ist oder auch, weil der Domainname so attraktiv ist (www.wolf.de), dass ihn sich sofort ein Größerer per Abmahnung holen würde, wenn für die Allgemeinheit auch nur ein Impressum, geschweige denn ein sinnvoller Inhalt (www.boris.de) zu sehen wäre. Oder beispielsweise, weil jemand eine Bewerbung ins Netz gestellt hat und diese aber nicht dem momentanen Arbeitgeber, der Ex-Freundin und dem Nachbarn präsentieren will (www.bewerbung.net/peter.mustermann) - ohne die nötigen Zugangsdaten (bei Peter Mustermann sei es verraten - User: demo, Password: test) geht da dann nichts. Dieses Verfahren ist bei allen Browsern identisch und im Gegensatz zu Lösungen über Javascript oder Java auch nicht durch Abschalten derselben auszutricksen. Auf Apache-Webservern steht mit .htacess-Dateien auch ein praktisches Werkzeug bereit, solche Zugriffsrechte einzurichten.

Microsoft will es dem User natürlich besonders einfach machen. Deshalb kann man einerseits die Usernamen/Passwort-Pärchen speichern lassen, sodass es beim nächsten Anmelden nur zu bestätigen ist. Schön, wenn man seinen PC wirklich nur alleine benutzt, sonst sehr gefährlich. Man kann diese Automatik in den Sicherheitseinstellungen der Optionen auch aufs Firmen-Intranet beschränken - ebenfalls sinnvoll. Die Option "Nach Benutzernamen und Kennwort fragen" entspricht dem Normalfall. Wer unter Online-Paranoia liegt, wird aber möglicherweise die in neueren Versionen vorhandene Option "Anonym anmelden" wählen.

Und in diesem Fall unterdrückt Microsoft Internet Explorer nun die für den User ja ach so gefährliche Passworteingabe und schickt stattdessen selbstständig eben eine anonyme Antwort à la "Gast/gast" an den Webserver. Klar, dass der da dann nicht mitspielt.

Warum Microsoft diese Funktion vorgesehen hat, ist nicht bekannt - jedoch ist sie mit Sicherheit zuviel des Guten und Websitebetreiber haben nun plötzlich mit Fehlermeldungen und Rückfragen der Usern bei einem zuvor jahrelang funktionierenden Verfahren zu kämpfen. Immerhin wird die fatale Einstellung vom Internet Explorer auch bei höchsten Sicherheitseinstellungen nicht von sich aus gewählt, aber wenn der User sie von sich aus wählt, wird ihm auch nicht verraten, dass er sich nun von allen passwortgeschützten Seiten ausgesperrt hat.

Ein ähnliches Foul passiert einem übrigens auch, wenn man - in böser Erinnerung an "iloveyou.vbs" - beim Installieren des Internet Explorers ihm das Ausführen von ohnehin internet-artfremden VBS (Visual Basic Script) untersagt. Ohne VBS geht nämlich kein Windows- oder Browser-Update mehr und damit lässt sich auch kein Security-Patch mehr laden. Auch hier wird der User nicht gewarnt und dieser Fehler ist unwiderruflich: Wer Microsoft und Viren nicht das Stadttor weit offen lassen will, muss eben damit leben, dass er nun zum Ausgleich die Hintertüren nicht mehr absperren kann ... (Wolf-Dieter Roth)