In den vergangenen Monaten haben wir die Sicherheit vieler TV-Sender überprüft. Die ARD gehört mit zu den größten deutschen öffentlich-rechtlichen Rundfunkanstalten, deshalb haben wir auch die Webseite (ard.de) auf ihre Sicherheit geprüft.
Die Webseite ist im Netz recht beliebt, denn neben den neusten Informationen gibt es beispielsweise auch eine Mediathek, die es dem Benutzer ermöglicht ausgestrahlte Sendungen im Nachhinein online anzuschauen.
Wir stellten bei unserer Überprüfung drei kritische XSS (Cross Site Scripting) Lücken fest. Durch diese wäre es möglich gewesen schädlichen Javascript-Code mit in die Website einzubinden. Auch eine Weiterleitung oder das Einbinden fremder Webinhalte wäre denkbar gewesen. Die Lücken befanden sich überwiegend in den Online-Playern, aber auch auf einem Blog.
Oft werden solche Lücken über URL-Kürzungsdienste verbreitet. Dabei muss das Opfer nur auf einen Link klicken, bspw. in einer Mail oder auf einem sozialen Netzwerk und schon wird der Javascriptcode ausgeführt, sofern man sich nicht dagegen gesichert hat.
Wir haben den zuständigen Webmaster direkt am Tag des Fundes (10.06.2012) eine Email zukommen lassen, in der die Lücken geschildert wurden. Bereits einen Tag nach Meldung wurden diese geschlossen - ein absolut vorbildliches Verhalten, davon sollten sich andere Webmaster mal eine Scheibe abschneiden. Wenn überall im öffentlich-rechtlichen Bereich so verantwortungsvoll gearbeitet wird kann man wohl behaupten, dass die GEZ Gebühr gut angelegt ist. Ein solch kompetenten Webmaster trifft man äußerst selten.
Wir bedanken uns recht herzlich bei dem Webmaster von ard.de für die schnelle Behebung der Lücken und den kooperativen Umgang.
Das Team der Internetwache.org
Screenshots
