Kourtis Internet Solutions
KOURTIS INTERNET SOLUTIONS

Sicherheit zum Nulltarif: Google veröffentlicht Ratproxy als Open Source

15. Juli 2008 – 11:40 Uhr

Sicherheitslücken finden sich längst nicht mehr nur in Software auf Heim- und Bürorechnern: Mit der zunehmenden Komplexität moderner Webseiten häufen sich auch in Online-Systemen die Fehler und Einfallstore für Schädlinge – mit weitreichenden Folgen: Nicht selten kann ein Fehler ganze Webseiten lahmlegen oder dafür sorgen, dass sensitive Benutzer- oder Firmendaten in die falschen Hände gelangen.

Für den lokalen PC gibt es vom kostenlosen Virenscanner bis hin zur kompletten Sicherheitslösung ein fast unendlich breites Angebot an Softwarelösungen, die versprechen, jeden sicherheitsrelevanten Aspekt zu kontrollieren und zu schützen.

Und auf dem Server? Auch hier kommen – meist für den eMail-Verkehr – Virenscanner zum Einsatz. Der HTML Code jedoch, der an den Benutzer ausgeliefert wird, lässt sich bislang eben so wenig automatisch nach Schwachstellen absuchen wie die darunter liegende Programmlogik. So können sich Fehler einschleichen, die es Benutzern mit böser Absicht beispielsweise erlauben, über den vorgesehenen Rahmen hinaus Zugriff auf die Datenbank oder gar das komplette System zu erlangen und so Schaden anzurichten und Daten zu entwenden.

Diesem Problem will sich nun der Suchmaschinenbetreiber Google annehmen: Dieser veröffentlichte heute eine Software namens Ratproxy, die verspricht, die von einer Website ausgelieferten HTML, JavaScript und sogar Flash Daten sowie angelegte und abgerufene Cookies genau unter die Lupe zu nehmen und auf mögliche Schwachstellen zu prüfen. Zusätzlich untersucht Ratproxy, ob ein potentieller Angreifer auf ungeschützte Dateien aus Systemverzeichnissen zugreifen kann.

Dazu setzt sich die Software als Proxy zwischen den Browser, der die Inhalte abruft, und den Server, der sie ausliefert und hat damit potentiell Zugriff auf die gleichen Inhalte und Schwachstellen, die auch ein Angreifer, der nach Lücken in der Seite sucht, analysieren würde.

Die von Ratproxy gesammelten Ergebnisse lassen sich mit mitgelieferten Skripten optisch aufbereiten und so besser interpretieren.

Installation, Aufbau und Ablauf der Tests sowie die Aufbereitung und Interpretation der Ergebnisse beschreibt Google in der online verfügbaren Dokumentation eingehender.

Die Software steht auf Googles eigener Open-Source-Plattform „Google Code“ zum kostenlosen Download bereit. Google veröffentlicht sie als Open Source unter den Bedingungen der Apache-Lizenz 2.0 und gibt als unterstütze Plattformen Windows, Mac OS X, Linux und FreeBSD an.