Internet Explorer Patch & @-Domains

Steffen Weber
20 Kommentare

Von Microsoft als Sicherheits-Update angekündigt, wandelt sich der neueste Patch für den Internet Explorer, welcher die Authentifizierung über das direkte Eingeben von Benutzername und Passwort in der URL schlichtweg deaktiviert, als ernsthaftes Problem für Inhaber sogenannter @-Domains.

Mit dem Namen @-Domains bezeichnet man die Möglichkeit, das weitläufig mit dem Internet in Verbindung gebrachte @-Zeichen in Domains einzubauen, obwohl es eigentlich ein ungültiges Zeichen für Domain-Namen ist. Diese dürfen normalerweise lediglich Buchstaben, Zahlen und Bindestriche enthalten. Bei den @-Domains macht man sich zu Nutze, dass durch dieses Zeichen im Standard-Aufbau einer URL der Benutzername von der Domain getrennt wird. Beispiel für das HTTP-Protokoll:

http://{Benutzername}:{Passwort}@{Domain}.{Top-Level-Domain}

Will man also nun also die Schein-Domain „m@thematik.de“ besitzen registriert man bei der DeNIC bzw. über seinen Webhost die Domain „thematik.de“. Nun kann man die Adresse „m@thematik.de“ vermarkten, denn der Buchstabe M vor dem @ wird als Benutzername gewertet, sodass der Browser seine Anfrage an „thematik.de“ sendet. Ein Passwort muss, entgegen dem obenstehenden Beispiel, nicht zwangsweise angegeben werden. Der Benutzername hat in diesem Fall also lediglich kosmetischen Sinn, denn es wird schließlich keine Authentifizierung vom Besucher verlangt. Aber das Ziel, unter der Adresse „m@thematik.de“ (und eventuell allen weiteren auf „@thematik.de“ endenden Adressen) präsent zu sein, hat man somit erreicht.

Durch den neuen Patch für den Internet Explorer, über welchen wir vor einigen Tagen die Kolumne Microsofts Auffassung von Sicherheit verfasst haben, stehen die Besitzer von @-Domains nun vor dem Problem, dass sie für Internet Explorer Anwender schlicht nicht mehr erreichbar sind! Man kann argumentieren, dass @-Domains ursprünglich nicht geplant gewesen sind und deren Besitzer von vornherein ein Risiko eingegangen sind, andererseits sind diese URLs Konform zu den Spezifikationen, auch wenn der Benutzername zweckentfremdet wurde.