Sicherheitslücken beim richbid.de

Dieses Thema im Forum "Sonstige Online-Themen" wurde erstellt von SuperHSV_de, 2. April 2002.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. SuperHSV_de

    SuperHSV_de ROM

    Registriert seit:
    2. April 2002
    Beiträge:
    1
    Hallo !

    Ich habe mich bei richbid.de regestriert und möchte alle warnen, abzuwarten, wie sich das dort weiterentwickelt.

    Meine Mail an richbid.de:
    http://62.116.141.57/richbid/php/user_aktiv.php3?userer=myuser&passwort=mypasswd
    Nett, dass jeder Hans und Franz mein PW sehen, abfangen und somit nutzen kann, das ist eine erhebliche Sicherheitslücke !

    **********
    Bemerkung hierzu: myuser und mypasswd ersetzten hier meine tatsächlichen Werte, die in der Mail angezigt werden und somit beim Klick in der URL-Adress-Zeile stehen !
    **********

    Antwort:
    Hallo unser System ist mit den modernsten Sicherheitvorkehrungen ausgestattet.
    Diese Seite bekommen nur Sie zu sehen :-)

    Darauf ich wieder:
    Dies ist so nicht richtig, Ihr System mag ja eine Firewall haben, aber es besteht keine https- bzw. verschlüsselte Verbindung. Mittels eines entsprechenden Tools ist es durchaus möglich, die gesendeten Daten (HTML-Daten) abzufangen bzw. zu beobachten. Z.B. wird mein aktuelles PW ja unter "Meine Daten" auch in Echttext angezeigt (Warum eigentlich ? Dann kann man sich ja auch gleich für die PW-Neueingaben das * sparen ;-) Und warum wird das PW nicht auch verschlüsselt in Ihrer DB gespeichert ? Ich mache das bei http://www.SuperHSV.de doch auch so.).

    Auch ist es ja durchaus möglich, über Javascript, die letzten besuchten Adressen herauszubekommen. Wenn also jemand in seinen Artikel einen Link einbaut oder (wenn bei Ihnen Möglich) sogar Javascript, so ist es sogar für nicht so sehr erfahrende User möglich, das PW zu bekommen.

    Wie gesagt, es ist eine erhebliche Sicherheitslücke, das PW in der URL mit anzuzeigen.

    Thorsten Runge
    http://www.SuperHSV.de
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen