-
Was schreibt Golem da?
Autor: Moridin 14.10.16 - 13:06
Die Quelle wurde im Text verlinkt.
Wie man aus dieser zu "Ausführung von Code von externen Skripten" oder "beliebige URLs in den Header eingetragen" kommen will, weiß ich nicht.
Es gipfelt in "Damit könnte die Internetverbindung im Zug für alle Nutzer deaktiviert werden.", was zwar theoretisch richtig ist, aber journalistisch auf Niveau der BILD.
1 mal bearbeitet, zuletzt am 14.10.16 13:07 durch Moridin. -
Re: Was schreibt Golem da?
Autor: hg (Golem.de) 14.10.16 - 13:32
Aus der Quelle (Zitat): "Die hotspot.cgi erzeugt ihrerseits einen Redirect auf genau die URL, welche im URL-Feld angegeben wurde, nachdem die Aktivierung erfolgt ist. Dort lassen sich also beliebige URLs in den Header eintragen (vielleicht auch nicht grade geschickt). Wird keine URL angegeben, so wird http://www.wifionice.de/ als Default genutzt."
Weiter: "Dabei fällt auf, dass hier keine Token zur Absicherung gegen CSRF getauscht werden. So lässt sich beispielsweise folgender Code in beliebige Webseiten einbetten um Nutzer des WLAN im ICE einfach mal offline zu schalten."
und "Versieht man eine Webseite mit einem geeigneten Script, erlaubt dies die eindeutige Erfassung und Zuordnung von Bewegungsdaten bei Seitenzugriffen. So lassen sich diese Informationen z.B. durch Werbetreibende über eingebettete Werbebanner in Seiten erfassen, die dann entsprechend Bewegungsprofile von Internetnutzern sammeln können."
Hauke Gierow - Golem.de



