1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Datenschutz: BVG-Webseite…

Eine GET-Variable

  1. Thema

Neues Thema


  1. Eine GET-Variable

    Autor: Baron Münchhausen. 01.03.18 - 09:12

    > Besonders kritisch an der BVG-Statusseite war, dass dort auch Mailadressen von Kunden einsehbar waren. Offenbar für einen API-Aufruf wird dort eine E-Mail-Adresse über eine GET-Variable übergeben.

    Ist wie der Weihnachsmann. Irgendwan entdeckt man, dass es sie gar nicht gibt.

    Ah nein, da ist sie doch: https://secure.php.net/manual/de/reserved.variables.get.php

    Die RFC sollte dringend überarbeitet werden:

    https://tools.ietf.org/html/rfc1738#section-3.3

    Die haben da haufen Fehler. Die nenen da die GET-Variable irgendwas mit Q oder so.



    6 mal bearbeitet, zuletzt am 01.03.18 09:21 durch Baron Münchhausen..

  2. Re: Eine GET-Variable

    Autor: chewbacca0815 01.03.18 - 10:16

    Baron Münchhausen. schrieb:
    --------------------------------------------------------------------------------
    > Die RFC sollte dringend überarbeitet werden:

    Das liegt doch am RFC, wenn man zu dumm ist, den korrekten Übertrgaungsweg von Inhalten zu nehmen. Nimm POST anstatt GET und es gäbe solche Dinge garnicht.

    https://www.w3schools.com/tags/ref_httpmethods.asp

  3. Re: Eine GET-Variable

    Autor: Anonymer Nutzer 01.03.18 - 11:00

    ... als wenn mann post-daten nicht mitlesen und manipullieren könnte ...

  4. Re: Eine GET-Variable

    Autor: chewbacca0815 01.03.18 - 11:47

    ML82 schrieb:
    --------------------------------------------------------------------------------
    > ... als wenn mann post-daten nicht mitlesen und manipullieren könnte ...

    POST wird im Gegensatz zu GET aber nicht gecacht ...

  5. Re: Eine GET-Variable

    Autor: katze_sonne 01.03.18 - 12:10

    chewbacca0815 schrieb:
    --------------------------------------------------------------------------------
    > ML82 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ... als wenn mann post-daten nicht mitlesen und manipullieren könnte ...
    >
    > POST wird im Gegensatz zu GET aber nicht gecacht ...
    Und vor allem nicht gelogt. Das ist der entscheidende Faktor. Hab zwar mit Webentwicklung nicht viel am Hut, aber das mit den "GET-Variablen nicht für sensible Daten" hatten wir definitiv mal im Informatik-Studium. Ist also eigentlich nichts neues.

  6. Re: Eine GET-Variable

    Autor: Anonymer Nutzer 01.03.18 - 14:21

    natürlich kannst du auch post-daten loggen, der grund warum das nicht gemacht wird, liegt an dem umfang den formulare annehmen können, lange z.t. formatierte texte und dateiuploads von katzenbildern.

  7. Re: Eine GET-Variable

    Autor: Proctrap 01.03.18 - 17:00

    eher dass extra darüber passwörter gesendet werden



    1 mal bearbeitet, zuletzt am 01.03.18 17:01 durch Proctrap.

  8. Re: Eine GET-Variable

    Autor: Baron Münchhausen. 02.03.18 - 08:56

    Ich bin fassungslos. Ihr wollt mich trollen oder ich bin in ein einem Alptraum.



    2 mal bearbeitet, zuletzt am 02.03.18 08:57 durch Baron Münchhausen..

  9. Re: Eine GET-Variable

    Autor: katze_sonne 02.03.18 - 12:15

    ML82 schrieb:
    --------------------------------------------------------------------------------
    > natürlich kannst du auch post-daten loggen, der grund warum das nicht
    > gemacht wird, liegt an dem umfang den formulare annehmen können, lange z.t.
    > formatierte texte und dateiuploads von katzenbildern.
    Klar, loggen kann man vieles. Aber die aufgerufenen Adressen / URLs werden ja wohl fast immer geloggt.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Systemadministrator*in ARD Zentrale Mediensysteme (ARD-Sternpunkt)
    Hessischer Rundfunk Anstalt des öffentlichen Rechts, Frankfurt am Main
  2. Expert Partner & IT-Resource Management (m/w/d)
    operational services GmbH & Co. KG, verschiedene Standorte
  3. Trainee Metallurgie im Transformationsprojekt SALCOS (w/m/d)
    Salzgitter Flachstahl GmbH, Salzgitter
  4. IT-Systemadministrator (m/w/d)
    Kommunaler Versorgungsverband Baden-Württemberg, Karlsruhe

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. basierend auf Verkaufszahlen
  2. basierend auf Verkaufszahlen


Haben wir etwas übersehen?

E-Mail an news@golem.de


Disney+, Netflix und Prime Video: Das goldene Streamingzeitalter wird zum silbernen
Disney+, Netflix und Prime Video
Das goldene Streamingzeitalter wird zum silbernen

Das aktuelle Jahr hat viele Umbrüche im Streamingmarkt erlebt - und nächstes Jahr geht es weiter. Das wird negative Auswirkungen für Anbieter und Kunden haben.
Eine Analyse von Ingo Pakalski

  1. Netflix-Datenschatz Serien laufen erfolgreich und werden trotzdem eingestellt
  2. Streaming Apple und Paramount könnten Streamingdienste bündeln
  3. Streamingabo Arthaus+ erstmals als App für 3,99 Euro pro Monat

Deutschland-Start vor 20 Jahren: Das Mysterium von Donnie Darko
Deutschland-Start vor 20 Jahren
Das Mysterium von Donnie Darko

Der Science-Fiction-Film Donnie Darko machte Jake Gyllenhaal zum Star. Regisseur Richard Kelly galt als Wunderkind, konnte den Erfolg aber nie wiederholen.
Von Peter Osteried

  1. Die wandernde Erde II Leb wohl, Sonnensystem!
  2. Die Wahrheit ist dort draußen Reboot von Akte X kommt
  3. Carol & the End of the World In 7 Monaten und 13 Tagen geht die Welt unter

Teil 2 unseres Tutorials: Objekte und Variablen in Powershell
Teil 2 unseres Tutorials
Objekte und Variablen in Powershell

Powershell-Tutorial
In unserer Powershell-Einführung mit Übungsblöcken und Lösungsvideos beschäftigen wir uns dieses Mal mit Objekten und Variablen.
Eine Anleitung von Holger Voges

  1. Mit praktischen Übungen und Videos Powershell für Einsteiger - Teil 1