1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › JSFuck: Esoterischer…

ebay ist von vorn bis hinten unsicher.

  1. Thema

Neues Thema Ansicht wechseln


  1. ebay ist von vorn bis hinten unsicher.

    Autor: LEOXD 02.02.16 - 21:09

    Das einzige, was auf der Webseite verschlüsselt ist, ist die Login-Seite. Alles andere nicht. Selbst, wenn man explizit eine HTTPS-Version aufrufen will, leitet ebay einen auf die HTTP-Version weiter.

    In den Einstellungen von Ebay gibt es eine Sektion, die da "Persönliche Informationen" heißt, und die einem UNVERSCHLÜSSELT den vollen Namen + Adresse geben. ebay weiß das auch (zumindest haben sie mir gesagt, dass das an die Entwickler weitergeleitet wurde), da hat sich über einem Jahr aber nichts getan.

    Paypal (was offiziell nicht mehr ebay ist, aber m.E. immer noch dazu gehört) hat eine maximale Passwortlänge von 20 Zeichen.

    ebay hat es echt nicht so mit Sicherheit.

  2. Re: ebay ist von vorn bis hinten unsicher.

    Autor: Elchinator 02.02.16 - 23:02

    LEOXD schrieb:
    --------------------------------------------------------------------------------
    > Paypal (was offiziell nicht mehr ebay ist, aber m.E. immer noch dazu
    > gehört) hat eine maximale Passwortlänge von 20 Zeichen.

    Das reicht aber auch völlig aus. Mehr Zeichen erhöhen nicht die Sicherheit, weil schon ab 12 Zeichen ganz andere Angriffsszenarien zum Einsatz kommen. Ob Du nun 20 oder 30 Zeichen hast, ist dabei egal.

  3. Re: ebay ist von vorn bis hinten unsicher.

    Autor: M. 03.02.16 - 11:18

    > Das reicht aber auch völlig aus. Mehr Zeichen erhöhen nicht die Sicherheit,
    > weil schon ab 12 Zeichen ganz andere Angriffsszenarien zum Einsatz kommen.
    > Ob Du nun 20 oder 30 Zeichen hast, ist dabei egal.
    Nein, und zwar deswegen nicht: [xkcd.com]
    Besser zu merken als 12 oder auch 20 zufällige Zeichen ist z.B. ein Satz in einer beliebigen Sprache. Der hat pro Zeichen natürlich deutlich weniger Entropie als ein zufälliges Passwort, gleicht das aber durch die Länge aus.

    Da die Passwörter ja hoffentlich gehasht werden, gibt es keinen plausiblen Grund, die Länge zu beschränken (ok, vielleicht auf einige 1000 Zeichen, um DoS-Angriffen vorzubeugen).


    Aber wenn da wirklich versucht wird, benutzerdefinierten JavaScript-Code nach Inhalt zu filtern ... facepalm. Das geht niemals, dazu ist JS viel zu flexibel. Schon JS in eine Sandbox zu sperren ist sehr schwer, meist kommt man mit Konstrukten wie z.B. this.constructor.constructor an einen Function-Konstruktor im ursprünglichen Kontext, und damit an den Kontext selbst...

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.



    1 mal bearbeitet, zuletzt am 03.02.16 11:22 durch M..

  4. Re: ebay ist von vorn bis hinten unsicher.

    Autor: crazypsycho 03.02.16 - 19:38

    Elchinator schrieb:
    --------------------------------------------------------------------------------
    > LEOXD schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Paypal (was offiziell nicht mehr ebay ist, aber m.E. immer noch dazu
    > > gehört) hat eine maximale Passwortlänge von 20 Zeichen.
    >
    > Das reicht aber auch völlig aus. Mehr Zeichen erhöhen nicht die Sicherheit,
    > weil schon ab 12 Zeichen ganz andere Angriffsszenarien zum Einsatz kommen.
    > Ob Du nun 20 oder 30 Zeichen hast, ist dabei egal.

    Das ist natürlich nicht egal. Der Angreifer weiß ja nicht ob dein Passwort 8, 12 oder gar 30 Zeichen lang ist. Daher dauert es deutlich länger ein 30stelliges Passwort zu hacken, als ein 20stelliges.
    Wobei natürlich beides viele Jahre braucht.

  5. Re: ebay ist von vorn bis hinten unsicher.

    Autor: FreiGeistler 05.02.16 - 13:57

    > Nein, und zwar deswegen nicht: [xkcd.com]
    Verwende NIE Wörter oder Namen in einem Passwort.
    Hast du schon mal den Begriff Rainbow Table gehört?

  6. Re: ebay ist von vorn bis hinten unsicher.

    Autor: My1 15.02.16 - 13:09

    rainbow table ist durchaus schön aber wenn man 4 zufällige worte aus einer bekannten 2048-wort liste nimmt hat man laut xkcd 44 bits sicherheit (also angenommen man weiß dass der andere das xkcd schema nutz gibt es nach wie vor 2^44 passwörter die man testen muss), während bei 11 zeichen mit passender kombination laut xkcd "nur" 28 bits also 2^28 zu testende PWs gibt.

    Daran ändern auch rainbow Tables nichts. wenn ich jetzt 11 zeichen-pw table berechne gehts sicher kürzer als wie beim xkcd passwort.

    und ne tabelle mit allen 11zeichen PWs ist schonmal nützlicher als ne xkcd tabelle, einfach andere wordlist und fertig.

    und vorgefertigte rainbow tables helfen auch nur wenn der hash bekannt und nicht gesalted ist (oder der salt bekannt und für alle user gleich, weil sonst die table wieder sinnlos ist, und gleicher salt für alle ist auch müll), was aber heutzutage zum standard gehört.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ING-DiBa AG, Frankfurt
  2. über duerenhoff GmbH, Raum Frankfurt
  3. Schaeffler Automotive Buehl GmbH & Co. KG, Bühl
  4. Dataport, Altenholz bei Kiel, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de