1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › eBay-Nutzer aufgepasst: Phishing per…

Sicherheitsloch bei eBay! Oder wie soll das sonst gehen?!

  1. Thema

Neues Thema Ansicht wechseln


  1. Sicherheitsloch bei eBay! Oder wie soll das sonst gehen?!

    Autor: Zielpublikum 05.08.05 - 16:42

    Das würde mich einmal interessieren, wie das gehen soll!?

    Wenn man auch den Ausgangsartikel studiert kommt man zum Schluß, dass die Umleitung nur durch ein Sicherheitsloch des eBay-Servers erfolgen kann. Denn nur dann können Parameter auch entsprechend missbraucht werden. Das scheint aber weder golem.de noch Netcraft in den Mund nehmen zu wollen. Oder?

    Gruß vom Zielpublikum

    Mein kleines Phishing-Museum startet hier:
    http://www.endl.de/newsletter/weblog/2005/kw30.htm#0177

  2. Re: Sicherheitsloch bei eBay! Oder wie soll das sonst gehen?!

    Autor: Bloody Mary 06.08.05 - 15:02

    Würde Ebay jegliche Scripte (AcitveX, Java) verbieten und ausfiltern und nur noch reines HTML zulassen, gäb es diese Probleme nicht! Aber anscheinend geht das nicht, warum auch immer ??? Ich surf nur noch ohne Java und mit Firefox zu Ebay, ist mir sonst einfach zu unsicher!

  3. JS != Java

    Autor: tachauch 06.08.05 - 22:22

    Bloody Mary schrieb:
    -------------------------------------------------------
    > Würde Ebay jegliche Scripte (AcitveX, Java)
    > verbieten und ausfiltern und nur noch reines HTML
    > zulassen, gäb es diese Probleme nicht!
    Java ist keine Scriptsprache. Was du wohl meintest ist Javascript, was mit Java ausser einem ähnlichen Syntax konzeptionell nicht viel gemein hat.

    > Aber
    > anscheinend geht das nicht, warum auch immer ???
    Weil dann tolle javascript Bild-Galerien nicht mehr funktionieren würden.

    > Ich surf nur noch ohne Java und mit Firefox zu
    > Ebay, ist mir sonst einfach zu unsicher!
    In den Java REs gibt es ab und an wieder Sicherheitslücken, jedoch sind diese selten so kritisch wie bei den Scriptsprachen (js, vbs) oder den ActiveX Komponenten.
    Java auszuschalten bringt also im Prinzip auch etwas mehr Sicherheit, bisher war zumindest IMHO die Risiko/Nutzen Rechnung überwiegend positiv.

  4. Re: Sicherheitsloch bei eBay! Oder wie soll das sonst gehen?!

    Autor: Tuvalu 07.08.05 - 13:28

    Bloody Mary schrieb:
    -------------------------------------------------------
    > Würde Ebay jegliche Scripte (AcitveX, Java)
    > verbieten und ausfiltern und nur noch reines HTML
    > zulassen, gäb es diese Probleme nicht! Aber
    > anscheinend geht das nicht, warum auch immer ???

    Wurde im Artikel nicht von "manipulierter URL" gesprochen? Das dürfte mehr mir den Browsern als mit der aufgerufenen Seite zu tun haben.

    > Ich surf nur noch ohne Java und mit Firefox zu
    > Ebay, ist mir sonst einfach zu unsicher!

    Und surfen ohne Java(skript) - naja - mit einem beschränkten Benutzerkonto unter Windows, dass Installationsversuche von z.B. Trojanern oder ähnlichen verhindert, ein wenig Vorsicht und "gesunder Menschenverstand" bei der Eingabe von Passwort, Benutzername bei der Bestätigung von Geboten und weniger Gier, sollte eigentlich ausreichen.

    tuvalu

  5. Re: JS != Java

    Autor: SH 07.08.05 - 15:20

    tachauch schrieb:
    -------------------------------------------------------
    > Weil dann tolle javascript Bild-Galerien nicht
    > mehr funktionieren würden.
    Dann muss sich eben ebay mal die Arbeit machen und etwas zur Verfügung stellen, dass diese Funktionalität bietet.
    ebay macht die gleichen Fehler, die man in Foren schon seit Ewigkeit behoben hat, aber solang das Geld fließt und die Kunden sich net groß beschweren...

  6. servlet

    Autor: tachauch 08.08.05 - 21:03

    Tuvalu schrieb:
    > Wurde im Artikel nicht von "manipulierter URL"
    > gesprochen? Das dürfte mehr mir den Browsern als
    > mit der aufgerufenen Seite zu tun haben.
    Also so wie ich den Artikel interpretiere, bietet eine bei ebay gehostete Seite eine Funktion mit der man auf eine Aussenstehende Seite weiterleiten kann. So steht die einloggende Seite zwar bei ebay, danach bewegt man sich dann aber nicht mehr bei denen.

  7. Re: servlet

    Autor: Zielpublikum 15.08.05 - 17:44

    tachauch schrieb:
    -------------------------------------------------------
    > Tuvalu schrieb:
    > > Wurde im Artikel nicht von "manipulierter
    > URL"
    > gesprochen? Das dürfte mehr mir den
    > Browsern als
    > mit der aufgerufenen Seite zu
    > tun haben.
    > Also so wie ich den Artikel interpretiere, bietet
    > eine bei ebay gehostete Seite eine Funktion mit
    > der man auf eine Aussenstehende Seite weiterleiten
    > kann. So steht die einloggende Seite zwar bei
    > ebay, danach bewegt man sich dann aber nicht mehr
    > bei denen.

    Ja, so sehe ich das auch. Oder man darf Inhalte von extern laden.
    Das alles ist aber dann - wenn es missbraucht werden kann (und hier wohl wurde) - ein Sicherheitsproblem. Und wenn ich das gerade bei eBay richtig gesehen habe, versucht man das gerade zu stopfen, indem man diese Möglichkeiten nur noch verifizierten Nutzern erlaubt.

  8. Re: servlet

    Autor: Someday 07.12.05 - 12:40

    tachauch schrieb:
    -------------------------------------------------------
    > Tuvalu schrieb:
    > > Wurde im Artikel nicht von "manipulierter
    > URL"
    > gesprochen? Das dürfte mehr mir den
    > Browsern als
    > mit der aufgerufenen Seite zu
    > tun haben.
    > Also so wie ich den Artikel interpretiere, bietet
    > eine bei ebay gehostete Seite eine Funktion mit
    > der man auf eine Aussenstehende Seite weiterleiten
    > kann. So steht die einloggende Seite zwar bei
    > ebay, danach bewegt man sich dann aber nicht mehr
    > bei denen.


    Korrekt: Es gibt einen Parameter, der die Möglichkeit bietet, das Ziel der Weiterleitung festzulegen, und da das Formular abgeschickt wird. werden voraussichtlich auch die Userdaten weitergeleitet -> Zack, schon haben die Ihre Daten.
    Ich logge mich grundsätzlich nur selber über www.ebay.de ein....

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. über duerenhoff GmbH, Mainz
  2. Deutsche Bahn AG, Frankfurt
  3. THD - Technische Hochschule Deggendorf, Deggendorf
  4. OEDIV KG, Bielefeld

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 249€ (Vergleichspreis 277,99€)
  2. (u. a. Samsung 860 QVO 1 TB für 99,90€, Samsung 860 QVO 2 TB für 199,99€, Samsung Protable...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Resident Evil 3 im Test: Geht-so-gruselige Action in Raccoon City
Resident Evil 3 im Test
Geht-so-gruselige Action in Raccoon City

Die Neuauflage des Klassikers Resident Evil 3 hat eine schicke Grafik, eine interessante Handlung - und sehr viel Action.
Ein Test von Peter Steinlechner

  1. Resident Evil Das wohl peinlichste Milchgesicht der Videospielgeschichte
  2. Horror Capcom stellt neue Version von Resident Evil 3 vor

Raumfahrt: Zombie-Satellit von 1967 sendet wieder
Raumfahrt
Zombie-Satellit von 1967 sendet wieder

Golem.de geht auf Zeitreise, nachdem der Satellit LES-5 aus den Zeiten des Vietnamkriegs wieder Funksignale aus dem All sendet.
Von Frank Wunderlich-Pfeiffer

  1. Internetnutzung Russische Rakete bringt 34 Oneweb-Satelliten ins All
  2. SpaceMobile Vodafone investiert in Satellitennetz für LTE und 5G
  3. Vernetzes Fahren Autokonzern Geely baut Satelliten für eigene Konstellation

IT-Chefs aus Indien: Mehr als nur ein Klischee
IT-Chefs aus Indien
Mehr als nur ein Klischee

In den Vorstandsetagen großer Tech-Unternehmen sind Inder allgegenwärtig. Der Stereotyp des IT-Experten aus Südasien prägt die US-Popkultur. Doch hinter dem Erfolg indischstämmiger Digitalunternehmer steckt viel mehr.
Ein Bericht von Jörg Wimalasena

  1. Container, DevOps, Agilität Runter von der Insel!
  2. Generationenübergreifend arbeiten Bloß nicht streiten
  3. Frauen in der Technik Von wegen keine Vorbilder!