Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 16

Ihr eBay-Passwort: 3, 2, 1 -- meins

Erstellt von Rene, 15.12.2004, 21:06 Uhr · 15 Antworten · 1.433 Aufrufe

  1. #1
    Rene
    Avatar von Rene

    Ihr eBay-Passwort: 3, 2, 1 -- meins

    In einer Live-Demo zeigt das Entwicklerteam von Validome, wie Verkäufer in Online-Auktionen bei eBay das Passwort der Bieter abfangen können. Dieses Problem ist schon länger bekannt, doch eBay erlaubt weiterhin die Verwendung von JavaScript in Auktionen und spricht von einer nur theoretischen Sicherheitslücke.

    Quelle

  2.  
    Anzeige
  3. #2
    waldi
    Avatar von waldi

    Re: Ihr eBay-Passwort: 3, 2, 1 -- meins

    muahahaha....

    habt ihr das gesehen? - die LIVE demonstration bei RTL (stern TV)?

    kleinlaut musste der jauch zugeben, sie bringen das "gerade" nicht hin!!!!! ...so´n pech aber auch?

    wenn man etwas beobachtungsgabe hat, konnte man das leichte anheben des vertreters von ebay, der anwesend war, seiner mundwinkel sehen.... muahahaha

    meine meinung: ebay ist ja sicher alles andere als doof! die haben einfach ihre server in dieser zeit etwas manipuli... ähh, beobachtet....

    sie wollen es später nochmals probieren, in einer späteren sendung, ja logisch...

    ich habe es ja schon immer gesagt - teufelszeug, diese plastikkisten... mir glaubt ja keiner...

    waldi, amüsiert

    P.S: was ist eigentlich JAVA oder JAVA script? ...was zum essen? muahahahaha.....

  4. #3
    waldi
    Avatar von waldi

    Re: Ihr eBay-Passwort: 3, 2, 1 -- meins

    hehehe... nachtrag: 23.57 (mein voriges post habe ich während der werbepause geschrieben)

    anscheinend hat der jauch die gleichen gedanken gehabt?

    teufelszeug, ich sags euch,

    waldi

  5. #4
    Avatar von dawarwas

    Registriert seit
    30.10.2002
    Beiträge
    3.385

    Re: Ihr eBay-Passwort: 3, 2, 1 -- meins

    Scheiss Ebay.

    "Jaja, wir pruefen und unternehmen gewiss."

    Aber nur solange der eigene Gewinn nicht in Gefahr ist. Da haette ich im Publikum sitzen sollen. Ich haette bestimmt nicht die Schnauze halten koennen.

    Ebay ist Scheisse. Aber leider ohne Konkurenz. Zumindesten momentan.

    Gruss.

  6. #5
    Avatar von dawarwas

    Registriert seit
    30.10.2002
    Beiträge
    3.385

    Re: Ihr eBay-Passwort: 3, 2, 1 -- meins

    wen es interessiert.

    Jetzt kommt die Fortsetzung auf 5, aeh RTL.
    Gruss.

  7. #6
    Avatar von PengoX

    Registriert seit
    17.02.2003
    Beiträge
    1.987

    Re: Ihr eBay-Passwort: 3, 2, 1 -- meins

    Falls es jemanden interessiert und falls jemand auch nur etwas HTML und JavaScript kann:

    Man kann den Passwortklau auch um einiges leichter machen wie er bei Heise und bei Stern angedeutet wurde.

    Unter jeder Auktion gibt es ein Feld für den Betrag und daneben einen Button zum abschicken. Jetzte baut man einfach eine einzelne JavaScript Zeile in seinen Beschreibungstext rein der das Ziel des Buttons umlenkt auf eine eigene Seite. Und die eigene Seite ist halt genauso aufgebaut wie die Ebay einlog-Seite nur eben, dass sie das Passwort irgendwo mitlogged. Und schon hat man das Passwort.

    Damit lassen sich natürlich auch andere Sachen machen. Z.B. das Formular mit dem Betrag automatisch abschicken lassen wenn im Text oben der String 'Sie sind eingelogged' steht. Dann will jemand eine Auktion anschauen und bevor die Seite da ist hat er dafür schon 1000 Euro geboten.
    Oder noch besser und unauffälliger: Das Ziel der einen Autkion A (= geiler, billiger Gegenstand) zeigt auf Gegenstand B (totaler Scheiss). Wenn man jetzt bei A den Betrag angibt und auf die nächste Seite kommt wo man das Bestätigen oder sich einloggen muss drückt man ja ohne hinzuschauen gleich auf weiter. Also hat man für B geboten obwohl man für A bieten wollte.
    Das ganze Javascript Zeugs liegt natürlich ausgelagert auf einem anderen Server sodass es sobald die Autkion fertig ist (oder jederzeit vorher) geändert werden kann.

    Solange man frei Javascript verwenden kann ist nix sicher.
    Siehe auch hier die Shoutbox (und den Test-Board Link)

    PengoX

  8. #7
    Avatar von MichaelNoi

    Registriert seit
    07.02.2002
    Beiträge
    3.844

    Re: Ihr eBay-Passwort: 3, 2, 1 -- meins

    Hab´s gestern auch gesehen, das Passwort samt Mitgliedsname wurde in 0,nix geknackt.
    Wenn ich aber nun Javascript in meinem Browser deaktiviere, bevor ich auf die Ebay Seite gehe ?
    Ebay finde ich an sich nämlich sehr gut !

  9. #8
    amnesius
    Avatar von amnesius

    Re: Ihr eBay-Passwort: 3, 2, 1 -- meins

    Was ich nur unglaublich peinlich fand, waren die Aussagen des Pressesprechers von Ebay.

    Fakt ist, das Ebay das Problem seit langem kennt und nichts effektives getan hat um das Problem aus der Welt zu schaffen.

    In einem Marktplatz wie Ebay tummelt sich genügend kriminelle Energie um solche Sicherheitslücken schamlos auszunutzen.

    Immerhin gehts dabei um Geld und wenns um Geld geht, bekommt die Kreativität Flügel und die skrupel schwinden. Besonders im "anonymen" Internet.

    Dabei sind es Kleinigkeiten, die Ebay in Sachen Sicherheit schon viel weiter bringen würden.

    *SSL Verschlüsselung bei der Übertragung von Passwörtern und sensitiven Daten (Gibts schon, aber muss erst extra ausgewählt werden)

    *Beschränkung der in Auktionsbeschreibungen erlaubten HTML Kodes auf ein Minimum (kein(e): Skripte, Frames, IFrames, Ext. Bilder müßen die Endung JPG oder GIF haben, nicht PHP oder ASP :-P usw.. )

    Leider belasten Filter die Server mehr als einfache Webseiten und kosten somit neben den Entwicklungskosten mehr Geld.

    Zwar will Ebay mit uns Geld verdienen, aber nichts in die Sicherheit der Kunden investieren.

    Marketing Geschwätz funktioniert nur einmal. Wenn nach versprechungen keine Taten folgen, dann wird man unglaubwürdig.

    Grüße

    Stefan

    Ps, mich würds nicht wundern, wenn gestern wärend der Sendung alle eingestellten Auktionen von einem Ebay Mitarbeiter persönlich gecheckt wurden, oder der Filter zu derzeit kurzfristig mal eingeschaltet wurde.

  10. #9
    Avatar von MichaelNoi

    Registriert seit
    07.02.2002
    Beiträge
    3.844

    Re: Ihr eBay-Passwort: 3, 2, 1 -- meins

    "Ps, mich würds nicht wundern, wenn gestern wärend der Sendung alle eingestellten Auktionen von einem Ebay Mitarbeiter persönlich gecheckt wurden, oder der Filter zu derzeit kurzfristig mal eingeschaltet wurde."

    Das verstehe ich jetzt nicht

  11. #10
    Avatar von dawarwas

    Registriert seit
    30.10.2002
    Beiträge
    3.385

    Re: Ihr eBay-Passwort: 3, 2, 1 -- meins

    Stefans Post bezog sich wohl noch auf die 1. Sendung.

    Peinlich war der Auftritt sicherlich, wenn nicht einfach nur Unverschaemt. Hatte Ebay den Sprecher ja schon ausgetauscht, zum vorherigen xe. Der konnte aber auch nichts besseres berichten, da der Jauch sehr energisch nachsetzte. :bravo:

    Fuer mich bestand die einzige kriminelle Energie darin, bei der 1. Sendung, durch ein (kurtzfristig) hochgefahrenes Sicherheitssystem, den Usern Sicherheit vor gauckeln zu wollen.


    Und dann mmer wieder die Sprueche:

    Wir nehmen das Thema sehr ernst.......
    Wir arbeiten daran.....
    Wir sind sehr darann interessiert.....




    Dann der einzige Satz der wahr war, warum sie den Ueberhaupt noch Javaskript benutzen wuerden: Weil die Verkaeufer sich so besser presentieren koennten.

    Da liegt ja der Hase im Pfeffer. Ohne Verkaeufer keine Kaeufer und auch kein Ebay.

    Ich mache ja viel bei Ebay, mittlerweile. Aber das die sich darum kuemmern, das der Laden "ordentlich" Laeuft?? ne, das koennt ihr vergessen.

    Wenn ihr neugierig seid, schaut doch x bei Ebay in der "Gemeinschaft" unter "Sicherheit".

    Gruss.

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. Passwort geschützes Laptop
    Von Pustebacke im Forum Computer-Board
    Antworten: 11
    Letzter Beitrag: 20.02.10, 04:22
  2. Passwort vergessen und E-Mail geändert
    Von Zandros im Forum Forum-Board
    Antworten: 2
    Letzter Beitrag: 26.11.09, 12:51
  3. DER GROSSE PASSWORT-CHECK
    Von Gerd / Muenchen im Forum Computer-Board
    Antworten: 17
    Letzter Beitrag: 19.11.08, 22:50
  4. Hilfe, ich kann mein Passwort
    Von Schulkind im Forum Computer-Board
    Antworten: 5
    Letzter Beitrag: 19.09.05, 16:03
  5. passwort für test-board ??
    Von Kali im Forum Forum-Board
    Antworten: 19
    Letzter Beitrag: 23.07.02, 23:38