1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Sicherheitsprobleme beim…

???Verstehe ich nicht???

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. ???Verstehe ich nicht???

    Autor: Hansderkanns 02.02.09 - 19:47

    Wie und wo soll die Kunden ID geändert worden sein?bzw. wo gibt man die ein (im Kundenlogin??) Verstehe ich nicht sorry! Ohne Paßwort hilft die Kunden ID auch nichts wie also sind sie an die Date der Kunden gekommen? Dann könnte man ja überall die Kunden ID ändern z.B.. T-Online, Alice,Freenet usw....
    Und wer Email anhänge öffnet und diese noch beantwortet ist doch selber schuld !
    Und wer kein Virenscanner oder Firewall installiert hat auch! Was also hat das mit 1und1 zu tun?

  2. Re: ???Verstehe ich nicht???

    Autor: fabumbum 02.02.09 - 19:56

    Keine Ahnung was du das faselst.
    Da steht einfach nur, das man mit bekannter Kundennummer eines 1&1-Kunden dessen Einzelverbindungsnachweise einsehen konnte.
    Was gibts da nicht zu verstehn?

  3. Re: ???Verstehe ich nicht???

    Autor: ernstl. 02.02.09 - 19:57

    Uns das ist leider falsch :-)

  4. Re: ???Verstehe ich nicht???

    Autor: Werner.B 02.02.09 - 20:06

    fabumbum schrieb:
    -------------------------------------------------------
    > Keine Ahnung was du das faselst.
    > Da steht einfach nur, das man mit bekannter
    > Kundennummer eines 1&1-Kunden dessen
    > Einzelverbindungsnachweise einsehen konnte.
    > Was gibts da nicht zu verstehn?

    Man braucht zu einer Kundennummer auch ein Passwort (ist bei allen dingen im leben so) um sich wo anzumelden um an deren Daten zu kommen!
    wie sind die an das Passwort gekommen? Golem schreibt nur was über Kundennummern bzw ID die im fremden besitzt gekommen sind nichts steht hier was über die Passwörter. Darum die Frage
    Ach schau doch selber (Kunde-> Dort kommt die ID rein Kundenpasswort -> hier kommt das Passwort rein) :-))
    https://login.1und1.de/xml/config/Login;jsessionid=0104E863AFD13D97C44F2327D417B0E6.TC175a?__reuse=1233601439358

  5. Re: ???Verstehe ich nicht???

    Autor: robinx 02.02.09 - 20:31

    Wenn ich tecchannel richtig verstehe dann ist es wohl so dass man sich mit seinen daten einloggt und dann kann man sich die rechnung ansehen. Und in der URL leiste brauchte man wohl nur die Rechnungsid ändern und schon konnte man rechnungen von ganz anderen leuten sehen, da dass system wohl anscheinend nur geprüft hat ob man sich eingelogt hat und danach fanden wohl keine prüfungen mehr statt

  6. Re: ???Verstehe ich nicht???

    Autor: LinuxMcBook 02.02.09 - 20:52

    Ja, aber sowas verstehen die hier ausm Thread nicht. Geschweige denn, dass sie dann mal auf den verlinkten Artikel klicken.
    Aber Techchannel macht auch einen Fehler. Die Sprechen von einer "Javascript-ID". Wenn das kein Ajax-Gefrickel ist, dann ist das ein ganz einfacher HTTP-Get Parameter.

  7. Re: ???Verstehe ich nicht???

    Autor: DeadRiver 02.02.09 - 23:36

    Sind doch eh fast alle belämmert hier...und dabei ist erst Montag^^

  8. Re: ???Verstehe ich nicht???

    Autor: Gamma 03.02.09 - 07:15

    LinuxMcBook schrieb:
    -------------------------------------------------------
    > Ja, aber sowas verstehen die hier ausm Thread
    > nicht. Geschweige denn, dass sie dann mal auf den
    > verlinkten Artikel klicken.

    In dem Bericht von Golem wurde es auch falsch dargestellt.
    Man benötigte keine Kunden-ID sondern eine Rechnungs-ID.
    Diese mußte man auch nicht wissen sondern lediglich eine eigene haben.
    (also selbst einloggen und einen EVN aufrufen)

    > Aber Techchannel macht auch einen Fehler. Die
    > Sprechen von einer "Javascript-ID". Wenn das kein
    > Ajax-Gefrickel ist, dann ist das ein ganz
    > einfacher HTTP-Get Parameter.

    Stimmt, da hat sich TecChannel walsch ausgedrückt.
    In der URL wurde einfach der Parameter RechnungsID übergeben.
    In der Anzeigeseite hat 1&1 einfach versäumt zu prüfen, ob die Rechnungs-ID auch zu dem Kunden gehört.

    Ein Skript, welches einfach nacheinander alle Rechnungs-IDs aufruft, hätte eine wunderbare Schäuble-Datenbank ergeben. ;-)

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Teamleiter (m/w/d) Bereich IT-Infrastructure & Security
    PÖSCHL TABAK GmbH & Co. KG, Geisenhausen
  2. Junior Consultant Risk Management für den Lidl-Onlineshop (m/w/d)
    Lidl Digital, Neckarsulm
  3. Senior Automation Engineer (m/w/d)
    Vesuvius GmbH, Borken
  4. Produktmanager für Software (m/w/d)
    MVTec Software GmbH, München

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Vorratsdatenspeicherung: Quick Freeze soll den VDS-Zombie begraben
Vorratsdatenspeicherung
Quick Freeze soll den VDS-Zombie begraben

Zum wiederholten Mal hat der EuGH der Politik bei der Vorratsdatenspeicherung eine Abfuhr erteilt. Zeit für eine rechtssichere Lösung.
Ein IMHO von Friedhelm Greis

  1. Kindesmissbrauch Faeser lehnt allgemeine Vorratsdatenspeicherung ab
  2. EuGH Vorratsdatenspeicherung bleibt verboten - aber nicht überall

EuGH-Urteil: Deutsche Vorratsdatenspeicherung ist unzulässig
EuGH-Urteil
Deutsche Vorratsdatenspeicherung ist unzulässig

Wie erwartet hat der EuGH die deutsche Regelung zur Vorratsdatenspeicherung für grundrechtswidrig erklärt. Doch in bestimmten Fällen ist die Speicherung erlaubt.
Ein Bericht von Friedhelm Greis

  1. Vorratsdatenspeicherung Faeser will weiter anlasslos IP-Adressen speichern lassen
  2. Vorratsdatenspeicherung SPD-Fraktion setzt auf Quick Freeze und Log-in-Falle
  3. Innenministerin Faeser hält Vorratsdaten für "unbedingt erforderlich"

LoRa-Messaging mit Meshtastic: Notfallkommunikation für Nerds
LoRa-Messaging mit Meshtastic
Notfallkommunikation für Nerds

Ins Funkloch gefallen und den Knöchel verstaucht? Mit Meshtastic lässt Hilfe rufen - ganz ohne Mobilfunk, LAN oder WLAN.
Eine Anleitung von Dirk Koller