| |
|
| Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
| Autor |
Nachricht |
GM&P Info
.
Anmeldungsdatum: 18.01.2006
Beiträge: 3982
|
 Verfasst am: 19.Mai 2008 8:34 Titel: eBay - Betrüger haben leichtes Spiel |
 |
|
| Zitat: |
Ein Programmierfehler - Internetbetrüger haben wegen schlampig produzierter Software bei eBay leichtes Spiel
Das Internetauktionshaus eBay steht bei Betrügern hoch im Kurs. Sie locken eBay-Mitglieder auf gefälschte Webseiten, um Zugangsdaten abzufischen. Mit den gestohlenen Daten loggen sie sich anschließend bei eBay ein und bieten unter fremdem Namen Waren an. Bei eBay gilt Vorkasse. Die Betrüger kassieren das Geld und verschwinden auf Nimmerwiedersehen. Die Ware wird natürlich nie geliefert.
Mit Cookies gegen Vorkassenbetrug
Um solche Betrügereien künftig zu verhindern, hat sich eBay ein besonderes System erdacht. Ab Mitte des Jahres gilt: eBay-Kunden, die nicht von ihrem angestammten Computer aus Waren zum Verkauf anbieten, müssen sich gesondert authentifizieren. Sie werden von eBay automatisch auf einer Nummer angerufen, die sie bei eBay hinterlegen müssen. "Mit diesem Anruf stellen wir sicher, dass der Verkauf tatsächlich vom rechtmäßigen Inhaber des eBay-Mitgliedskontos veranlasst wird", heißt es bei eBay.
Damit die eBay-Software erkennen kann, welcher Computer beim Einstellen von Angeboten benutzt wird, markiert eBay die Rechner seiner Kunden bereits seit Ende April mit einem sogenannten Flash-Cookie. Das ist eine kleine Textdatei mit einer eindeutigen Kennung, die auf dem PC des Nutzers abgespeichert wird. Stellt der eBay-Kunde Waren ein, sucht die eBay-Software auf seinem PC automatisch nach dem Cookie.
Anders als gewöhnliche Cookies unterliegen Flash-Cookies nicht der Cookie-Verwaltung des Browsers. Sie werden über den Flash-Player erzeugt und können auf normalem Wege nicht gelöscht werden. Zudem ist normalerweise sichergestellt, dass diese Cookies nur von der Webdomain ausgelesen werden können, die die kleine Textdatei auf dem Computer abgespeichert hat.
Kluge Idee schlampig umgesetzt
Eine kluge Idee, könnte man meinen. Identitätsdiebe können sich zwar die Zugangsdaten eines Kunden erschleichen, könnten damit aber nichts mehr anfangen. Sie benutzen einen Rechner, dem das Identifizierungs-Cookie fehlt. Bieten sie trotzdem Waren an, setzt sich die eBay-Software mit dem wirklichen Kunden in Verbindung. Der wird gewarnt und kann sein eBay-Konto auf der Stelle sperren lassen.
Die Theorie klingt klug - die eBay-Praxis reichlich schlampig. Das jedenfalls behauptet Falle-Internet, eine private Sicherheitsinitiative, die es sich zum Ziel gesetzt hat, Internetkriminellen das Handwerk zu legen und Surfer über Netzgefahren aufzuklären. Falle-Internet hat nämlich einen Programmierfehler in eben jenem Flash-Objekt namens "krb.swf" entdeckt, das eBay zum Ausliefern und Abfragen seiner Cookies benutzt.
"Eigentlich dürften ausschließlich eBay-eigene Seiten und Skripte Zugriff auf die darin enthaltene Funktion zum Auslesen eines Flash-Cookies haben", erklärt Falle-Internet. "Eine falsch implementierte Abfrage ermöglicht es aber nahezu jeder Webseite, eBays eigene Software zum 'Cookieklau' zu verwenden." Einzige Bedingung sei: "Die Adresse der Seite muss - ganz ähnlich wie eBays Login-Seite - mit 'signin' beginnen."
Leichtere Arbeit für Betrüger
Heute.de hat den "Cookieklau" ausprobiert - mit verblüffendem Ergebnis. Über eine zu Demonstrationszwecken eingerichtete Webseite mit Namensähnlichkeit zur eBay-Einloggseite konnten Flashcookies problemlos ausgelesen werden, obwohl das theoretisch eigentlich nicht möglich ist. Damit nicht genug.
Die Sicherheitsmaßnahme, die in der schönen eBay-Theorie das unbefugte Anbieten von Waren eigentlich unmöglich machen sollte, erleichtert Internetbetrügern die Arbeit ganz erheblich. In einem Abwasch können sie sich über eine entsprechend manipulierte Webseite von eBay-Mitgliedern nicht nur die Zugangsdaten erschleichen, sondern auch gleich deren Identifizierungs-Cookies auslesen und zur eigenen "Authentifizierung" einsetzen.
Der Aufwand, diese eklatante Sicherheitslücke zu schließen, sei für eBay minimal, sagt Falle-Internet. Sie dürfte deshalb auch tatsächlich bald geschlossen sein. Dennoch weise ihre Existenz auf ein grundsätzliches Problem bei der Verwendung softwarebasierter Sicherheitsmaßnahmen hin. "Mit steigender Komplexität erhöht sich die Fehlerwahrscheinlichkeit im Zusammenspiel der Komponenten", so Falle-Internet.
Wirkliche Sicherheit gegen Aufpreis
Darüber hinaus stellt sich die Frage, warum eBay solche und andere Lücken nicht selbst entdeckt, sondern immer wieder erst von Außenstehenden darauf gestoßen werden muss. Sollte man nicht meinen, dass gerade ein in Sicherheitsfragen gebranntes "Kind" wie eBay jede neue Maßnahme vor ihrem Einsatz besonders gründlich auf Herz und Nieren überprüft?
Seit Mitte Februar 2007 bietet eBay seinen Kunden an, das Mitgliedskonto mit einem Sicherheitsschüssel zu schützen, der das von Banken bekannte eTan-Verfahren verwendet. Alle dreißig Sekunden generiert das Gerät einen individuellen Sicherheitscode, der zusätzlich zu den Kundendaten eingeben werden muss. Die Nutzung ist freiwillig.
"Der Sicherheitsschlüssel könnte aber leicht für alle Nutzer verpflichtend eingeführt werden", sagt Falle-Internet. Den geringen Kosten von 4,95 Euro pro Schlüssel stünde ein echter Mehrgewinn an Sicherheit gegenüber.
Quelle: ZDF / Alfred Krüger |
|
|
| Nach oben |
|
|
cashinfo
Pathfinder
Anmeldungsdatum: 11.03.2005
Beiträge: 352
Wohnort: Europa - mitten drin
|
| Verfasst am: 22.Mai 2008 12:18 Titel: ... |
|
|
Hi Gemeinde,
vor Jahren konnten bei Ebay noch i-frames eingefügt werden. Es dauerte ewig bis dies unterbunden wurde. Es ist einfach nicht zu verstehen, warum ebay das system nicht so dicht macht, daß Links auf fremde seiten und ausführbarer Code , der von userseite eingestellt werden kann, nicht eingach verboten sind. Die Seiten etwas verschlankt, damit der Aufbau rasend schnell geht und ein Standardlayout. ENDE
Viele User verlassen ebay weil es einfach zu langsam ist .... es gibt für die privaten user solche plattformen wiee hood.de und andere. Die Gewerbetreibenden sollen sich doch auf ebay austoben . Meiner meinung nach teht sich ebay aus gier selber im weg.
Ich lasse wohl auf meinem Rechner Software aus dem Browser suchen !!! Was soll das denn -- morgen läuft dann über die routine der herr schäuble über meinen desctop  . Nein, ausführbarer Code , gif, swf und ähnliche werden bei mir gefiltert und der browser hat maximal rechte im Temp-Ordner.
Geldgier ist immer wieder tödlich --- das wir auch bei ebay über kurz oder lang so sein ..... denke ich zumindest .
Grüsse |
|
| Nach oben |
|
|
|
|
|
|
|
Sie können keine Beiträge in dieses Forum schreiben.
Sie können auf Beiträge in diesem Forum nicht antworten.
Sie können Ihre Beiträge in diesem Forum nicht bearbeiten.
Sie können Ihre Beiträge in diesem Forum nicht löschen.
Sie können an Umfragen in diesem Forum nicht mitmachen.
|
|
|
| |
Suchen
Registrieren
Profil
Login
FAQ
Mitgliederliste
Einloggen, um private Nachrichten zu lesen
