Abo
  1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › JSFuck: Esoterischer…

ebay ist von vorn bis hinten unsicher.

  1. Thema

Neues Thema Ansicht wechseln


  1. ebay ist von vorn bis hinten unsicher.

    Autor: LEOXD 02.02.16 - 21:09

    Das einzige, was auf der Webseite verschlüsselt ist, ist die Login-Seite. Alles andere nicht. Selbst, wenn man explizit eine HTTPS-Version aufrufen will, leitet ebay einen auf die HTTP-Version weiter.

    In den Einstellungen von Ebay gibt es eine Sektion, die da "Persönliche Informationen" heißt, und die einem UNVERSCHLÜSSELT den vollen Namen + Adresse geben. ebay weiß das auch (zumindest haben sie mir gesagt, dass das an die Entwickler weitergeleitet wurde), da hat sich über einem Jahr aber nichts getan.

    Paypal (was offiziell nicht mehr ebay ist, aber m.E. immer noch dazu gehört) hat eine maximale Passwortlänge von 20 Zeichen.

    ebay hat es echt nicht so mit Sicherheit.

  2. Re: ebay ist von vorn bis hinten unsicher.

    Autor: Elchinator 02.02.16 - 23:02

    LEOXD schrieb:
    --------------------------------------------------------------------------------
    > Paypal (was offiziell nicht mehr ebay ist, aber m.E. immer noch dazu
    > gehört) hat eine maximale Passwortlänge von 20 Zeichen.

    Das reicht aber auch völlig aus. Mehr Zeichen erhöhen nicht die Sicherheit, weil schon ab 12 Zeichen ganz andere Angriffsszenarien zum Einsatz kommen. Ob Du nun 20 oder 30 Zeichen hast, ist dabei egal.

  3. Re: ebay ist von vorn bis hinten unsicher.

    Autor: M. 03.02.16 - 11:18

    > Das reicht aber auch völlig aus. Mehr Zeichen erhöhen nicht die Sicherheit,
    > weil schon ab 12 Zeichen ganz andere Angriffsszenarien zum Einsatz kommen.
    > Ob Du nun 20 oder 30 Zeichen hast, ist dabei egal.
    Nein, und zwar deswegen nicht: [xkcd.com]
    Besser zu merken als 12 oder auch 20 zufällige Zeichen ist z.B. ein Satz in einer beliebigen Sprache. Der hat pro Zeichen natürlich deutlich weniger Entropie als ein zufälliges Passwort, gleicht das aber durch die Länge aus.

    Da die Passwörter ja hoffentlich gehasht werden, gibt es keinen plausiblen Grund, die Länge zu beschränken (ok, vielleicht auf einige 1000 Zeichen, um DoS-Angriffen vorzubeugen).


    Aber wenn da wirklich versucht wird, benutzerdefinierten JavaScript-Code nach Inhalt zu filtern ... facepalm. Das geht niemals, dazu ist JS viel zu flexibel. Schon JS in eine Sandbox zu sperren ist sehr schwer, meist kommt man mit Konstrukten wie z.B. this.constructor.constructor an einen Function-Konstruktor im ursprünglichen Kontext, und damit an den Kontext selbst...

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.



    1 mal bearbeitet, zuletzt am 03.02.16 11:22 durch M..

  4. Re: ebay ist von vorn bis hinten unsicher.

    Autor: crazypsycho 03.02.16 - 19:38

    Elchinator schrieb:
    --------------------------------------------------------------------------------
    > LEOXD schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Paypal (was offiziell nicht mehr ebay ist, aber m.E. immer noch dazu
    > > gehört) hat eine maximale Passwortlänge von 20 Zeichen.
    >
    > Das reicht aber auch völlig aus. Mehr Zeichen erhöhen nicht die Sicherheit,
    > weil schon ab 12 Zeichen ganz andere Angriffsszenarien zum Einsatz kommen.
    > Ob Du nun 20 oder 30 Zeichen hast, ist dabei egal.

    Das ist natürlich nicht egal. Der Angreifer weiß ja nicht ob dein Passwort 8, 12 oder gar 30 Zeichen lang ist. Daher dauert es deutlich länger ein 30stelliges Passwort zu hacken, als ein 20stelliges.
    Wobei natürlich beides viele Jahre braucht.

  5. Re: ebay ist von vorn bis hinten unsicher.

    Autor: FreiGeistler 05.02.16 - 13:57

    > Nein, und zwar deswegen nicht: [xkcd.com]
    Verwende NIE Wörter oder Namen in einem Passwort.
    Hast du schon mal den Begriff Rainbow Table gehört?

  6. Re: ebay ist von vorn bis hinten unsicher.

    Autor: My1 15.02.16 - 13:09

    rainbow table ist durchaus schön aber wenn man 4 zufällige worte aus einer bekannten 2048-wort liste nimmt hat man laut xkcd 44 bits sicherheit (also angenommen man weiß dass der andere das xkcd schema nutz gibt es nach wie vor 2^44 passwörter die man testen muss), während bei 11 zeichen mit passender kombination laut xkcd "nur" 28 bits also 2^28 zu testende PWs gibt.

    Daran ändern auch rainbow Tables nichts. wenn ich jetzt 11 zeichen-pw table berechne gehts sicher kürzer als wie beim xkcd passwort.

    und ne tabelle mit allen 11zeichen PWs ist schonmal nützlicher als ne xkcd tabelle, einfach andere wordlist und fertig.

    und vorgefertigte rainbow tables helfen auch nur wenn der hash bekannt und nicht gesalted ist (oder der salt bekannt und für alle user gleich, weil sonst die table wieder sinnlos ist, und gleicher salt für alle ist auch müll), was aber heutzutage zum standard gehört.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Dürr Systems AG, Bietigheim-Bissingen
  2. Bundesgesellschaft für Endlagerung mbH (BGE), Peine
  3. THD - Technische Hochschule Deggendorf, Deggendorf
  4. CompuGroup Medical Deutschland AG, Kiel, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-80%) 1,99€
  2. 3,74€
  3. 1,72€
  4. (-77%) 11,50€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Google Maps in Berlin: Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird
Google Maps in Berlin
Wenn aus Aussetzfahrten eine neue U-Bahn-Linie wird

Kartendienste sind für Touristen wie auch Ortskundige längst eine willkommene Hilfe. Doch manchmal gibt es größere Fehler. In Berlin werden beispielsweise einige Kleinprofil-Linien falsch gerendert. Dabei werden betriebliche Besonderheiten dargestellt.
Von Andreas Sebayang

  1. Kartendienst Qwant startet Tracking-freie Alternative zu Google Maps
  2. Nahverkehr Google verbessert Öffi-Navigation in Maps
  3. Google Maps-Nutzer können öffentliche Veranstaltungen erstellen

Kickstarter: Scheitern in aller Öffentlichkeit
Kickstarter
Scheitern in aller Öffentlichkeit

Kickstarter ermöglicht es kleinen Indie-Teams, die Entwicklung ihres Spiels zu finanzieren. Doch Geld allein ist nicht genug, um alle Probleme der Spieleentwicklung zu lösen. Und was, wenn das Geld ausgeht?
Ein Bericht von Daniel Ziegener

  1. Killerwhale Games Verdacht auf Betrug beim Kickstarter-Erfolgsspiel Raw
  2. The Farm 51 Chernobylite braucht Geld für akkurates Atomkraftwerk
  3. E-Pad Neues Android-Tablet mit E-Paper-Display und Stift

In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

  1. Time of flight: iPhone soll 3D-Kamera zur Raumvermessung erhalten
    Time of flight
    iPhone soll 3D-Kamera zur Raumvermessung erhalten

    Auf der Rückseite der übernächsten iPhone-Generation könnte ein Kameratyp sein, der nicht für Fotos, sondern für die Vermessung von Räumen gedacht ist. Damit könnte Augmented Reality besser umgesetzt werden.

  2. Neuzulassungen: Renault im ersten Halbjahr Spitzenreiter bei E-Autos
    Neuzulassungen
    Renault im ersten Halbjahr Spitzenreiter bei E-Autos

    Renault hat Deutschlands meistverkauftes Elektroauto im Sortiment. Im ersten Halbjahr sind 5.551 Renault Zoe zugelassen worden, was im Jahresvergleich einem Zuwachs von 106 Prozent entspricht.

  3. Streaming: Netflix' Kundenwachstum geht zurück
    Streaming
    Netflix' Kundenwachstum geht zurück

    Netflix hat im zweiten Quartal die eigenen Erwartungen verfehlt. Auch der Gewinn ist niedriger ausgefallen als im Vorjahresquartal.


  1. 07:31

  2. 07:19

  3. 23:00

  4. 19:06

  5. 16:52

  6. 15:49

  7. 14:30

  8. 14:10