Dienstag, 26. November 2024

Forum

Sicherheitslücke: Ebay-Passwort in Klartext bei Bewertung
Letzter Eintrag 10 Nov 2003 07:50 von Boomer. 4 Antworten.
AddThis - Bookmarking und Sharing Button Druckerfreundlich
  •  
  •  
  •  
  •  
  •  
Sortieren:
VorherigeVorherige NächsteNächste
Sie sind nicht autorisiert, um eine Antwort zu erstellen.
Autor Nachrichten Informativ
BoomerBenutzer ist Offline
Ganz neu hier
Ganz neu hier
Posts:


--
02 Nov 2003 09:32
    Hallo,

    das Thema war zwar bereits da, allerdings besteht der Fehler noch und ist gravierender, als dort besprochen.
    Ursprünglicher Beitrag war von Botex.

    Das Problem: Bei Aufruf der Bewertungen loggt sich der AB mit dem eBay Passwort ein. Das Passwort wird nicht verschlüsselt (ohne SSL), sondern im Klartext übermittelt. Es ist kurz in der Statuszeile zu sehen.
    Gravierend ist, dass dies bedeutet, dass somit die URL mit angehängtem Passwort übermittelt wird. Ferner enthält die URL auch den eBay-Namen, was aber normal ist - in der Kombination mit Passwort aber äußerst gefährlich ...

    Das bedeutet, dass eBay-Name und Passwort auch in der History (dem Verlauf) des Internet Explorers gespeichert werden, somit jeder, der Zugriff drauf hat sich mit diesen Daten einloggen kann - auch ohne dass er dem rechtmäßigen Nutzer während der Nutzung des AB über die Schulter schaut!

    Es bedeutet ferner, dass jeder, der diese URL irgendwie abfangen kann, Zugang zu eBay-Namen und Passwort erhält, womit er sich dann einloggen kann.

    Technischer Grund: es wird vom AB wohl der Befehl method=get anstelle method=post verwendet.

    Meine Bitte an das AB Team, erstellt ein Patch, das

    a) die Übermittlungsmethode ändert und
    b) sofern möglich, den AB per SSL einloggen lässt

    Gruß Boomer
    ralfkxxlBenutzer ist Offline
    Ganz neu hier
    Ganz neu hier
    Posts:


    --
    02 Nov 2003 10:40
    Ja, gute Idee, hab nämlich auch schon bemerkt, dass beim Auslesen der History der Login Name und das Passwort im Klartext lesbar sind.... Mächtige Sicherheitslücke.... !!!! Bitte um schnellste Behebung...
    Zitat: Ein wahrhaft großer Mann wird weder einen Wurm zertreten, noch vor dem Kaiser kriechen. (Benjamin Franklin, amerikan. Staatsmann, Schriftsteller u. Wissenschaftler, 1706-1790)
    BotexBenutzer ist Offline
    Ganz neu hier
    Ganz neu hier
    Posts:


    --
    03 Nov 2003 06:57
    Hallo,

    mir war schon nicht ganz wohl dabei zu wissen, dass man beim Bewertungsaufruf meinen Ebay-Nick und mein Passwort sehen kann. Das die ganze Sache auch noch im Verlauf vom IE gespeichert wird, finde ich erschreckend.

    Ich hoffe, dass das AB-Team nun schnellstmöglich einen Patch rausbringt, der das Problem löst !!!

    Zur Zeit bleibt einem dann nur folgendes:

    IE-Verlauf aufrufen und per Rechtsklick den gesamten Verlauf löschen.

    oder

    mit Tweak UI im Bereich "Paranoia" einen Hacken bei "Internet-Explorer-Verlauf bei Start löschen" machen. Dann wird wenigstens der Verlauf beim Neustart von Windows gelöscht.

    Hier die Downloadadressen für

    Tweak UI 133 Deutsch - W9x-ME-W2K

    Tweck UI 210 Engl - WinXP-Win2003Server

    PowerToys f WinXP Engl

    Gruß
    Frank
    Gruß Botex
    BoomerBenutzer ist Offline
    Ganz neu hier
    Ganz neu hier
    Posts:


    --
    05 Nov 2003 07:22
    Inzwischen ist mir aufgefallen, dass es auch bei dem Abruf der eBay Kontodaten zu einer Übermittlung kommt. Eigentlich logisch, da der AB sich ja bei dem Abruf der Kontodaten, wie auch bei den Bewertungen via IE einloggt.

    Gruß Boomer
    BoomerBenutzer ist Offline
    Ganz neu hier
    Ganz neu hier
    Posts:


    --
    10 Nov 2003 07:50
    Ich habe heute eine Mail vom AB-Team erhalten. Es soll noch diese Woche einen Patch geben, der das Problem löst.

    ... und noch einiges mehr bringt, wie dem Posting von mercy zu entnehmen ist. ->Klick ;-)

    Gruß Boomer
    Sie sind nicht autorisiert, um eine Antwort zu erstellen.

    Foren > Supportforum > Support

    Tapatalk for Active Forums

     
    Hauptmenü
    Anmelden