Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Liefery: Erratbare Trackingnummern…

Wie kann man sich sowas erlauben?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie kann man sich sowas erlauben?

    Autor: r3bel 01.06.17 - 14:29

    Ich frage mich bei sowas immer wie man so unfähig sein kann. Jedes Framework bietet heute out-of-the-box ein rate-limit etc. an mit dem sowas nicht passiert wäre. Auch die Idee die Nummer nur 5-Stellig zu machen... Man man....

  2. Re: Wie kann man sich sowas erlauben?

    Autor: hannob (golem.de) 01.06.17 - 14:40

    Ein rate limit alleine hilft nicht viel, es erhöht nur den Aufwand für den Angreifer ein bißchen.

    Es ist problemlos möglich, so ein brute-forcing über offene web-proxies oder auch über tor-nodes zu verteilen.

  3. Re: Wie kann man sich sowas erlauben?

    Autor: Polecat42 01.06.17 - 14:41

    > Jedes Framework bietet heute out-of-the-box

    hm, nö. Und selbst wenn, muss man es erstmal konfigurieren/aktivieren und auf einen Wert einstellen, der nicht kontraproduktiv für andere Sachen ist.

    Und nur-fünfstellig: naja, sieht halt netter aus als (ja, extremes Gegenbeispiel:) ne GUID. Die Youtube-Kürzel find ich zB. ganz cool und die lassen sich ja mit base(irgendwas) aus Integers berechnen.

    Und wie in meinem Nachbarbeitrag geschrieben und gemeint: gerade als startup kann man halt nicht alles sofort perfekt machen. Been there, done that, failed.

  4. Re: Wie kann man sich sowas erlauben?

    Autor: r3bel 01.06.17 - 15:46

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Ein rate limit alleine hilft nicht viel, es erhöht nur den Aufwand für den
    > Angreifer ein bißchen.
    >
    > Es ist problemlos möglich, so ein brute-forcing über offene web-proxies
    > oder auch über tor-nodes zu verteilen.

    Klar, aber es geht bei Security ja eher darum es dem Angreifer schwerer / so schwer wie möglich zu machen. Ich denke allein ein simples Rate-Limit würde schon einige Angreifer abschrecken. Wenn man dann noch 20-30 stellige IDs benutzt wünsche ich jedem BF-Versuch schon mal viel Spaß.

  5. Re: Wie kann man sich sowas erlauben?

    Autor: r3bel 01.06.17 - 15:48

    Eine YouTube-ID hat aber auch nicht den Anspruch komplex bzw. sicher sondern eindeutig zu sein.

    Wo ist denn das Problem, selbst eine 100-stellige ID zu verwenden? Der Kunde bekommt in 99,99% der Fälle doch sowieso eine E-Mail mit einem Link darin den er einfach anklickt. Alles andere lässt sich über QR-Codes, Accounts oder was weiß ich was alles lösen.

  6. Re: Wie kann man sich sowas erlauben?

    Autor: stemps 01.06.17 - 20:38

    Sendungs-IDs müssen auch von Menschen gelesen und verarbeitet werden. So müssen sie z.B. über das Telefon an den Kundendienst durchgegeben werden, vom Kurier auf der App mit der ID auf dem Sendungs-Label abgeglichen werden, oder bei der Sortierkontrolle im Hub gegengecheckt werden.

    Dafür verbieten sich leider 100-stellige IDs, UUIDs oder youtube-ähnliche IDs bei denen wegen dem grossen Alphabet aus Klein- und Grossbuchtaben und Zahlen sehr hohes Verwechslungspotential besteht.

    Ein bisschen Hintergrund zu der Story... Das Liefery System hat durchaus Rate-Limits um das beschriebene Problem zu verhindern. Diese wurden jedoch um Bulk-Übertragungen grosser eCommerce Kunden zu erlauben global nach oben angepasst. Dies war ein Fehler. Nach dem Hinweis des Autors des Artikels auf die Lücke haben wir die Rate-Limits Request-spezifisch entsprechend angepasst und weitere Sicherheitsmassnahmen umgesetzt (z.B. die Länge der Sendungs-ID erweitert).

    Simon Stemplinger
    CTO Liefery

  7. Re: Wie kann man sich sowas erlauben?

    Autor: Polecat42 02.06.17 - 09:26

    cool, ne Stellungnahme! Vorbildlich!

  8. Re: Wie kann man sich sowas erlauben?

    Autor: olleIcke 02.06.17 - 11:01

    Oh ja! Wirklich sehr cool, dass Sie sich dem Troll-Mop hier stellen! :D
    Hut ab!

    Das golem-Forum kann BBCode!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. JDM Innovation GmbH, Murr
  2. Stadtwerke München GmbH, München
  3. JDM Innovation GmbH, Murr bei Ludwigsburg
  4. WIKA Alexander Wiegand SE & Co. KG, Klingenberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (PC für 59,99€, PS4 für 69,99€ - Release am 13. September)
  2. (-64%) 6,50€
  3. 21,99€
  4. 51,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Deutsche Bahn: Die Bauzeit verzögert sich um wenige Jahre ...
Deutsche Bahn
Die Bauzeit verzögert sich um wenige Jahre ...

Dass der Bau neuer Bahnstrecken Jahrzehnte dauert, soll sich ändern. Aber jetzt wird die Klage einer Bürgerinitiative verhandelt, die alles noch verschlimmern könnte.
Eine Reportage von Caspar Schwietering

  1. DB Cargo Wagon Intelligence Die Hälfte der Güterwagen hat Funkmodule mit Sensorik
  2. Schienenverkehr Die Bahn hat wieder eine Vision
  3. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein

Manipulierte Zustimmung: Datenschützer halten die meisten Cookie-Banner für illegal
Manipulierte Zustimmung
Datenschützer halten die meisten Cookie-Banner für illegal

Nur die wenigsten Cookie-Banner entsprechen den Vorschriften der DSGVO, wie eine Studie feststellt. Die Datenschutzbehörden halten sich mit Sanktionen aber noch zurück.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Chrome & Privacy Google möchte uns in Zukunft anders tracken
  2. Tracking Google und Facebook tracken auch auf vielen Pornoseiten
  3. Android Apps kommen auch ohne Berechtigung an Trackingdaten

IT-Studium: Kein Abitur? Kein Problem!
IT-Studium
Kein Abitur? Kein Problem!

Martin Fricke studiert Informatik, obwohl er kein Abitur hat. Das darf er, weil Universitäten Berufserfahrung für die Zulassung anerkennen. Davon profitieren Menschen wie Unternehmen gleichermaßen.
Von Tarek Barkouni

  1. IT Welches Informatikstudium passt zu mir?
  2. Bitkom Nur jeder siebte Bewerber für IT-Jobs ist weiblich

  1. Elektromobilität: Stromwirtschaft will keine Million öffentlicher Ladesäulen
    Elektromobilität
    Stromwirtschaft will keine Million öffentlicher Ladesäulen

    Verkehrsminister Scheuer will günstige Elektroautos stärker fördern, Vizekanzler Olaf Scholz fordert "so was wie ein Eine-Million-Ladesäulen-Programm". Doch die Stromversorger warnen vor einer "überdimensionierten Ladeinfrastruktur".

  2. Saudi-Arabien: Drohnenangriffe legen halbe Erdölproduktion lahm
    Saudi-Arabien
    Drohnenangriffe legen halbe Erdölproduktion lahm

    Drohnen aus dem Jemen sollen die wichtigste Erdölraffinerie Saudi-Arabiens in Brand gesetzt haben. Die USA beschuldigen den Iran, die Huthi-Rebellen mit der Waffentechnik ausgerüstet zu haben.

  3. Biografie erscheint: Union lehnt Asyl für Snowden weiter ab
    Biografie erscheint
    Union lehnt Asyl für Snowden weiter ab

    US-Whistleblower Edward Snowden hätte weiterhin nichts dagegen, Russland in Richtung Deutschland zu verlassen. Doch Schutz vor einer Auslieferung in die USA kann er hierzulande nicht erwarten.


  1. 14:21

  2. 12:41

  3. 11:39

  4. 15:47

  5. 15:11

  6. 14:49

  7. 13:52

  8. 13:25