Web

 

Javascript-Schwachpunkt in E-Mails

06.02.2001

MÜNCHEN (COMPUTERWOCHE) - Eine neu entdeckte Schnüffeltechnik erlaubt das Lesen von E-Mails, die an Dritte weitergeleitet werden. Die Lücke tut sich in HTML-E-Mails auf und "ist kinderleicht auszunutzen", erklärt Richard Smith, Cheftechnologe der Privacy Foundation .

Ein paar Zeilen Javascript, die in eine E-Mail integriert werden, genügen: So modifiziert wird beim Weiterleiten der Kommentar, der für einen Dritten bestimmt ist, dann auch an den Verfasser der E-Mail geschickt. Voraussetzung ist, dass der Adressat das Lesen von Javascript aktiviert hat. Das Loch existiert in HTML/Javascript-fähigen E-Mail-Programmen wie Microsofts Outlook, Outlook Express und im Netscape-Browserpaket. Microsofts Hotmail oder andere Web-basierte E-Mail-Systeme sind nicht betroffen, da sie Javascript-Programme in ankommenden E-Mails automatisch entfernen.

"Dies ist keine wirkliche Lücke, es liegt in der Natur von HTML-E-Mails" erklärt Microsoft. Anwender könnten die Funktionalität abschalten. Smith fordert indes die Hersteller Microsoft und Netscape auf, Javascript beim Lesen von E-Mails nicht zuzulassen. Damit könnte man auch dem Viren-Befall und E-Mail-Spams einen Riegel vorschieben.