1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Liefery: Erratbare Trackingnummern…

Wie kann man sich sowas erlauben?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie kann man sich sowas erlauben?

    Autor: r3bel 01.06.17 - 14:29

    Ich frage mich bei sowas immer wie man so unfähig sein kann. Jedes Framework bietet heute out-of-the-box ein rate-limit etc. an mit dem sowas nicht passiert wäre. Auch die Idee die Nummer nur 5-Stellig zu machen... Man man....

  2. Re: Wie kann man sich sowas erlauben?

    Autor: hab (Golem.de) 01.06.17 - 14:40

    Ein rate limit alleine hilft nicht viel, es erhöht nur den Aufwand für den Angreifer ein bißchen.

    Es ist problemlos möglich, so ein brute-forcing über offene web-proxies oder auch über tor-nodes zu verteilen.

  3. Re: Wie kann man sich sowas erlauben?

    Autor: Polecat42 01.06.17 - 14:41

    > Jedes Framework bietet heute out-of-the-box

    hm, nö. Und selbst wenn, muss man es erstmal konfigurieren/aktivieren und auf einen Wert einstellen, der nicht kontraproduktiv für andere Sachen ist.

    Und nur-fünfstellig: naja, sieht halt netter aus als (ja, extremes Gegenbeispiel:) ne GUID. Die Youtube-Kürzel find ich zB. ganz cool und die lassen sich ja mit base(irgendwas) aus Integers berechnen.

    Und wie in meinem Nachbarbeitrag geschrieben und gemeint: gerade als startup kann man halt nicht alles sofort perfekt machen. Been there, done that, failed.

  4. Re: Wie kann man sich sowas erlauben?

    Autor: r3bel 01.06.17 - 15:46

    hannob (golem.de) schrieb:
    --------------------------------------------------------------------------------
    > Ein rate limit alleine hilft nicht viel, es erhöht nur den Aufwand für den
    > Angreifer ein bißchen.
    >
    > Es ist problemlos möglich, so ein brute-forcing über offene web-proxies
    > oder auch über tor-nodes zu verteilen.

    Klar, aber es geht bei Security ja eher darum es dem Angreifer schwerer / so schwer wie möglich zu machen. Ich denke allein ein simples Rate-Limit würde schon einige Angreifer abschrecken. Wenn man dann noch 20-30 stellige IDs benutzt wünsche ich jedem BF-Versuch schon mal viel Spaß.

  5. Re: Wie kann man sich sowas erlauben?

    Autor: r3bel 01.06.17 - 15:48

    Eine YouTube-ID hat aber auch nicht den Anspruch komplex bzw. sicher sondern eindeutig zu sein.

    Wo ist denn das Problem, selbst eine 100-stellige ID zu verwenden? Der Kunde bekommt in 99,99% der Fälle doch sowieso eine E-Mail mit einem Link darin den er einfach anklickt. Alles andere lässt sich über QR-Codes, Accounts oder was weiß ich was alles lösen.

  6. Re: Wie kann man sich sowas erlauben?

    Autor: stemps 01.06.17 - 20:38

    Sendungs-IDs müssen auch von Menschen gelesen und verarbeitet werden. So müssen sie z.B. über das Telefon an den Kundendienst durchgegeben werden, vom Kurier auf der App mit der ID auf dem Sendungs-Label abgeglichen werden, oder bei der Sortierkontrolle im Hub gegengecheckt werden.

    Dafür verbieten sich leider 100-stellige IDs, UUIDs oder youtube-ähnliche IDs bei denen wegen dem grossen Alphabet aus Klein- und Grossbuchtaben und Zahlen sehr hohes Verwechslungspotential besteht.

    Ein bisschen Hintergrund zu der Story... Das Liefery System hat durchaus Rate-Limits um das beschriebene Problem zu verhindern. Diese wurden jedoch um Bulk-Übertragungen grosser eCommerce Kunden zu erlauben global nach oben angepasst. Dies war ein Fehler. Nach dem Hinweis des Autors des Artikels auf die Lücke haben wir die Rate-Limits Request-spezifisch entsprechend angepasst und weitere Sicherheitsmassnahmen umgesetzt (z.B. die Länge der Sendungs-ID erweitert).

    Simon Stemplinger
    CTO Liefery

  7. Re: Wie kann man sich sowas erlauben?

    Autor: Polecat42 02.06.17 - 09:26

    cool, ne Stellungnahme! Vorbildlich!

  8. Re: Wie kann man sich sowas erlauben?

    Autor: olleIcke 02.06.17 - 11:01

    Oh ja! Wirklich sehr cool, dass Sie sich dem Troll-Mop hier stellen! :D
    Hut ab!

    Das golem-Forum kann BBCode!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Radeberger Gruppe KG, Frankfurt am Main, Dortmund
  2. OEDIV KG, Bielefeld
  3. MKL Ingenieurgesellschaft mbH, München
  4. Hays AG, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 399€ + 5,99€ Versand (Bestpreis!)
  2. (u. a. WISO Steuer:Mac 2020 für 18,39€ (ohne Prime oder unter 29€ zzgl. Versand) und Einhell...
  3. (u. a. Samsung U32J590 UHD-Monitor für 279€ + 6,99€ Versand statt 304,95€ im Vergleich)
  4. (u. a. F1 2019 - Legends Edition für 13,49€)


Haben wir etwas übersehen?

E-Mail an news@golem.de