Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenschutz: BVG-Webseite verrät…

Eine GET-Variable

  1. Thema

Neues Thema Ansicht wechseln


  1. Eine GET-Variable

    Autor: Baron Münchhausen. 01.03.18 - 09:12

    > Besonders kritisch an der BVG-Statusseite war, dass dort auch Mailadressen von Kunden einsehbar waren. Offenbar für einen API-Aufruf wird dort eine E-Mail-Adresse über eine GET-Variable übergeben.

    Ist wie der Weihnachsmann. Irgendwan entdeckt man, dass es sie gar nicht gibt.

    Ah nein, da ist sie doch: https://secure.php.net/manual/de/reserved.variables.get.php

    Die RFC sollte dringend überarbeitet werden:

    https://tools.ietf.org/html/rfc1738#section-3.3

    Die haben da haufen Fehler. Die nenen da die GET-Variable irgendwas mit Q oder so.



    6 mal bearbeitet, zuletzt am 01.03.18 09:21 durch Baron Münchhausen..

  2. Re: Eine GET-Variable

    Autor: chewbacca0815 01.03.18 - 10:16

    Baron Münchhausen. schrieb:
    --------------------------------------------------------------------------------
    > Die RFC sollte dringend überarbeitet werden:

    Das liegt doch am RFC, wenn man zu dumm ist, den korrekten Übertrgaungsweg von Inhalten zu nehmen. Nimm POST anstatt GET und es gäbe solche Dinge garnicht.

    https://www.w3schools.com/tags/ref_httpmethods.asp

  3. Re: Eine GET-Variable

    Autor: ML82 01.03.18 - 11:00

    ... als wenn mann post-daten nicht mitlesen und manipullieren könnte ...

  4. Re: Eine GET-Variable

    Autor: chewbacca0815 01.03.18 - 11:47

    ML82 schrieb:
    --------------------------------------------------------------------------------
    > ... als wenn mann post-daten nicht mitlesen und manipullieren könnte ...

    POST wird im Gegensatz zu GET aber nicht gecacht ...

  5. Re: Eine GET-Variable

    Autor: katze_sonne 01.03.18 - 12:10

    chewbacca0815 schrieb:
    --------------------------------------------------------------------------------
    > ML82 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ... als wenn mann post-daten nicht mitlesen und manipullieren könnte ...
    >
    > POST wird im Gegensatz zu GET aber nicht gecacht ...
    Und vor allem nicht gelogt. Das ist der entscheidende Faktor. Hab zwar mit Webentwicklung nicht viel am Hut, aber das mit den "GET-Variablen nicht für sensible Daten" hatten wir definitiv mal im Informatik-Studium. Ist also eigentlich nichts neues.

  6. Re: Eine GET-Variable

    Autor: ML82 01.03.18 - 14:21

    natürlich kannst du auch post-daten loggen, der grund warum das nicht gemacht wird, liegt an dem umfang den formulare annehmen können, lange z.t. formatierte texte und dateiuploads von katzenbildern.

  7. Re: Eine GET-Variable

    Autor: Proctrap 01.03.18 - 17:00

    eher dass extra darüber passwörter gesendet werden

    ausgeloggt kein JS für golem = keine Seitenhüpfer



    1 mal bearbeitet, zuletzt am 01.03.18 17:01 durch Proctrap.

  8. Re: Eine GET-Variable

    Autor: Baron Münchhausen. 02.03.18 - 08:56

    Ich bin fassungslos. Ihr wollt mich trollen oder ich bin in ein einem Alptraum.



    2 mal bearbeitet, zuletzt am 02.03.18 08:57 durch Baron Münchhausen..

  9. Re: Eine GET-Variable

    Autor: katze_sonne 02.03.18 - 12:15

    ML82 schrieb:
    --------------------------------------------------------------------------------
    > natürlich kannst du auch post-daten loggen, der grund warum das nicht
    > gemacht wird, liegt an dem umfang den formulare annehmen können, lange z.t.
    > formatierte texte und dateiuploads von katzenbildern.
    Klar, loggen kann man vieles. Aber die aufgerufenen Adressen / URLs werden ja wohl fast immer geloggt.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Landesbank Hessen-Thüringen, Offenbach am Main
  2. Robert Bosch GmbH, Dresden
  3. SICK AG, Waldkirch bei Freiburg im Breisgau
  4. Rhenus Office Systems GmbH, Holzwickede

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  2. 119,90€
  3. und Assassins Creed Odyssey, Strange Brigade und Star Control Origins kostenlos dazu erhalten
  4. bei Alternate bestellen


Haben wir etwas übersehen?

E-Mail an news@golem.de


Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Lichtverschmutzung: Was Philips Hue mit der Tierwelt im Garten macht
Lichtverschmutzung
Was Philips Hue mit der Tierwelt im Garten macht

LEDs für den Garten sind energiesparend und praktisch - für Menschen und manche Fledermäuse. Für viele Tiere haben sie jedoch fatale Auswirkungen. Aber mit einigen Änderungen lässt sich die Gartenbeleuchtung so gestalten, dass sich auch Tiere wohlfühlen.
Ein Bericht von Werner Pluta

  1. Play und Signe Neue farbige Philips-Hue-Leuchten für indirektes Licht
  2. Smart Home Weitere Hue-Leuchten fürs Badezimmer vorgestellt
  3. Badezimmerspiegel Philips Hue kommt ins Bad

  1. BVG: Wi-Fi für 600.000 Euro in Berliner Bussen
    BVG
    Wi-Fi für 600.000 Euro in Berliner Bussen

    Die Ausstattung von Bussen mit WLAN kommt in Berlin gut an. Jetzt werden 180 Linienbusse in der Innenstadt mit Internet versorgt.

  2. Mit und ohne Vertrag: Mobilcom-Debitel bietet Xiaomi-Smartphones an
    Mit und ohne Vertrag
    Mobilcom-Debitel bietet Xiaomi-Smartphones an

    Offiziell vertreibt Xiaomi seine Smartphones in Deutschland nicht, der Mobilfunkanbieter Mobilcom-Debitel nimmt allerdings vier Geräte in sein Sortiment auf. Verfügbar sind Einsteiger- und Topgeräte, sowohl über eine Vertragsfinanzierung als auch ohne Vertragsabschluss.

  3. Solo A Star Wars Story: Beeindruckender Deepfake-Jungbrunnen für Harrison Ford
    Solo A Star Wars Story
    Beeindruckender Deepfake-Jungbrunnen für Harrison Ford

    Mithilfe von Künstlicher Intelligenz (KI) und Machine Learning haben Kreative den Schauspieler Alden Ehrenreich in Solo: A Star Wars Story durch Harrison Ford als Han Solo ersetzt.


  1. 15:18

  2. 15:02

  3. 14:43

  4. 13:25

  5. 13:10

  6. 12:54

  7. 12:34

  8. 12:01