Ihr eBay-Passwort: 3, 2, 1 -- meins

Diskutiere Ihr eBay-Passwort: 3, 2, 1 -- meins im Computer-Board Forum im Bereich Diverses; In einer Live-Demo zeigt das Entwicklerteam von Validome, wie Verkäufer in Online-Auktionen bei eBay das Passwort der Bieter abfangen können...
R

Rene

Gast
In einer Live-Demo zeigt das Entwicklerteam von Validome, wie Verkäufer in Online-Auktionen bei eBay das Passwort der Bieter abfangen können. Dieses Problem ist schon länger bekannt, doch eBay erlaubt weiterhin die Verwendung von JavaScript in Auktionen und spricht von einer nur theoretischen Sicherheitslücke.

Quelle
 
W

waldi

Gast
muahahaha....

habt ihr das gesehen? - die LIVE demonstration bei RTL (stern TV)?

kleinlaut musste der jauch zugeben, sie bringen das "gerade" nicht hin!!!!! ...so´n pech aber auch?

wenn man etwas beobachtungsgabe hat, konnte man das leichte anheben des vertreters von ebay, der anwesend war, seiner mundwinkel sehen.... muahahaha

meine meinung: ebay ist ja sicher alles andere als doof! die haben einfach ihre server in dieser zeit etwas manipuli... ähh, beobachtet....

sie wollen es später nochmals probieren, in einer späteren sendung, ja logisch...

ich habe es ja schon immer gesagt - teufelszeug, diese plastikkisten... mir glaubt ja keiner...

waldi, amüsiert :lol: :lol: :lol:

P.S: was ist eigentlich JAVA oder JAVA script? ...was zum essen? muahahahaha.....
 
W

waldi

Gast
hehehe... nachtrag: 23.57 (mein voriges post habe ich während der werbepause geschrieben)

anscheinend hat der jauch die gleichen gedanken gehabt?

teufelszeug, ich sags euch, :lol: :lol: :lol: :lol: :lol:

waldi
 
dawarwas

dawarwas

Senior Member
Dabei seit
30.10.2002
Beiträge
3.385
Reaktion erhalten
0
Ort
Kölle am Ring
Scheiss Ebay.

"Jaja, wir pruefen und unternehmen gewiss."

Aber nur solange der eigene Gewinn nicht in Gefahr ist. Da haette ich im Publikum sitzen sollen. Ich haette bestimmt nicht die Schnauze halten koennen.

Ebay ist Scheisse. Aber leider ohne Konkurenz. Zumindesten momentan.

Gruss.
 
dawarwas

dawarwas

Senior Member
Dabei seit
30.10.2002
Beiträge
3.385
Reaktion erhalten
0
Ort
Kölle am Ring
wen es interessiert.

Jetzt kommt die Fortsetzung auf 5, aeh RTL.
Gruss.
 
PengoX

PengoX

Senior Member
Dabei seit
17.02.2003
Beiträge
1.990
Reaktion erhalten
0
Ort
Unterschleißheim
Falls es jemanden interessiert und falls jemand auch nur etwas HTML und JavaScript kann:

Man kann den Passwortklau auch um einiges leichter machen wie er bei Heise und bei Stern angedeutet wurde.

Unter jeder Auktion gibt es ein Feld für den Betrag und daneben einen Button zum abschicken. Jetzte baut man einfach eine einzelne JavaScript Zeile in seinen Beschreibungstext rein der das Ziel des Buttons umlenkt auf eine eigene Seite. Und die eigene Seite ist halt genauso aufgebaut wie die Ebay einlog-Seite nur eben, dass sie das Passwort irgendwo mitlogged. Und schon hat man das Passwort.

Damit lassen sich natürlich auch andere Sachen machen. Z.B. das Formular mit dem Betrag automatisch abschicken lassen wenn im Text oben der String 'Sie sind eingelogged' steht. Dann will jemand eine Auktion anschauen und bevor die Seite da ist hat er dafür schon 1000 Euro geboten.
Oder noch besser und unauffälliger: Das Ziel der einen Autkion A (= geiler, billiger Gegenstand) zeigt auf Gegenstand B (totaler Scheiss). Wenn man jetzt bei A den Betrag angibt und auf die nächste Seite kommt wo man das Bestätigen oder sich einloggen muss drückt man ja ohne hinzuschauen gleich auf weiter. Also hat man für B geboten obwohl man für A bieten wollte.
Das ganze Javascript Zeugs liegt natürlich ausgelagert auf einem anderen Server sodass es sobald die Autkion fertig ist (oder jederzeit vorher) geändert werden kann.

Solange man frei Javascript verwenden kann ist nix sicher.
Siehe auch hier die Shoutbox (und den Test-Board Link)

PengoX
 
MichaelNoi

MichaelNoi

Senior Member
Dabei seit
07.02.2002
Beiträge
3.844
Reaktion erhalten
0
Ort
Amberg / Bangkok
Hab´s gestern auch gesehen, das Passwort samt Mitgliedsname wurde in 0,nix geknackt.
Wenn ich aber nun Javascript in meinem Browser deaktiviere, bevor ich auf die Ebay Seite gehe ?
Ebay finde ich an sich nämlich sehr gut !
 
A

amnesius

Gast
Was ich nur unglaublich peinlich fand, waren die Aussagen des Pressesprechers von Ebay.

Fakt ist, das Ebay das Problem seit langem kennt und nichts effektives getan hat um das Problem aus der Welt zu schaffen.

In einem Marktplatz wie Ebay tummelt sich genügend kriminelle Energie um solche Sicherheitslücken schamlos auszunutzen.

Immerhin gehts dabei um Geld und wenns um Geld geht, bekommt die Kreativität Flügel und die skrupel schwinden. Besonders im "anonymen" Internet.

Dabei sind es Kleinigkeiten, die Ebay in Sachen Sicherheit schon viel weiter bringen würden.

*SSL Verschlüsselung bei der Übertragung von Passwörtern und sensitiven Daten (Gibts schon, aber muss erst extra ausgewählt werden)

*Beschränkung der in Auktionsbeschreibungen erlaubten HTML Kodes auf ein Minimum (kein(e): Skripte, Frames, IFrames, Ext. Bilder müßen die Endung JPG oder GIF haben, nicht PHP oder ASP :-P usw.. )

Leider belasten Filter die Server mehr als einfache Webseiten und kosten somit neben den Entwicklungskosten mehr Geld.

Zwar will Ebay mit uns Geld verdienen, aber nichts in die Sicherheit der Kunden investieren.

Marketing Geschwätz funktioniert nur einmal. Wenn nach versprechungen keine Taten folgen, dann wird man unglaubwürdig.

Grüße

Stefan

Ps, mich würds nicht wundern, wenn gestern wärend der Sendung alle eingestellten Auktionen von einem Ebay Mitarbeiter persönlich gecheckt wurden, oder der Filter zu derzeit kurzfristig mal eingeschaltet wurde.
 
MichaelNoi

MichaelNoi

Senior Member
Dabei seit
07.02.2002
Beiträge
3.844
Reaktion erhalten
0
Ort
Amberg / Bangkok
"Ps, mich würds nicht wundern, wenn gestern wärend der Sendung alle eingestellten Auktionen von einem Ebay Mitarbeiter persönlich gecheckt wurden, oder der Filter zu derzeit kurzfristig mal eingeschaltet wurde."

Das verstehe ich jetzt nicht :nixweiss:
 
dawarwas

dawarwas

Senior Member
Dabei seit
30.10.2002
Beiträge
3.385
Reaktion erhalten
0
Ort
Kölle am Ring
Stefans Post bezog sich wohl noch auf die 1. Sendung. :nixweiss:

Peinlich war der Auftritt sicherlich, wenn nicht einfach nur Unverschaemt. Hatte Ebay den Sprecher ja schon ausgetauscht, zum vorherigen xe. Der konnte aber auch nichts besseres berichten, da der Jauch sehr energisch nachsetzte. :bravo:

Fuer mich bestand die einzige kriminelle Energie darin, bei der 1. Sendung, durch ein (kurtzfristig) hochgefahrenes Sicherheitssystem, den Usern Sicherheit vor gauckeln zu wollen.


Und dann mmer wieder die Sprueche:

Wir nehmen das Thema sehr ernst.......
Wir arbeiten daran.....
Wir sind sehr darann interessiert.....


:zorn: :heul:

Dann der einzige Satz der wahr war, warum sie den Ueberhaupt noch Javaskript benutzen wuerden: Weil die Verkaeufer sich so besser presentieren koennten.

Da liegt ja der Hase im Pfeffer. Ohne Verkaeufer keine Kaeufer und auch kein Ebay.

Ich mache ja viel bei Ebay, mittlerweile. Aber das die sich darum kuemmern, das der Laden "ordentlich" Laeuft?? ne, das koennt ihr vergessen.

Wenn ihr neugierig seid, schaut doch x bei Ebay in der "Gemeinschaft" unter "Sicherheit".

Gruss.
 
A

amnesius

Gast
Wofür man JavaScript braucht um seine Ware bei Ebay besser präsentieren zu können erschliesst sich mir nicht.

Ich hab die Sendung gestern nicht zuende geschaut, da ich weg musste. Nur viel Neues habe ich nicht erwartet.

Das Problem ist bei Ebay bekannt und wird nicht ausreichend behoben. Die Sprüche von Ebay ware das übliche Schadensbegrenzungsgeschwätz. Somit nix neues.

Ebay geht es primär um eines, wachsen und geldverdienen. Kapitalistisch legitim! Es scheint allerdings so das Ebay die Kunden durch Einschränkungen nicht verärgern will und darauf setzt (zu) wenig zu ändern.

Im Moment ist das Geschrei gross und ob sich was ändert oder nicht, irgendwann ist das Thema vergessen -- Business as usual --

Man darf eines nicht vergessen, bei Ebay ist der Aufwand hinter den Kulissen gross (Technik, Manpower) und die Marge klein. Da muss es die Masse machen.

Jetzt liegt alles daran, wie die Kunden reagieren. Da der deutsche Verbraucher aber bei Wechselentscheidungen recht träge ist und auch schlechte Erfahrungen gerne schnell vergisst, stehen die Chancen für Ebay gut...

Grüße

Stefan
 
altf4

altf4

Senior Member
Dabei seit
16.07.2004
Beiträge
365
Reaktion erhalten
0
Ort
Bangkok Noi
@waldi

hehe meine rede ... 100%

naja klickibunti baukasten webseiten sind immer noch der renner
und bei auktionen zieht das anscheinend auch .. hehe

da faellt das eine oder andre script bei den eh schon 100% systemlast (verursacht durch die "A0L-software" auch nedmehr auf -g-

99% der "sicherheitsluecken" werden von den benutzers selbt verursacht

wer auf "diversen" webseiten surft muss mit "diversen" folgen rechnen

wer zu faul ist warnungen zu lesen und besser die option "nicht mehr anzeigen" aktiviert hat .. ist selbst schuld ...

wenn beim rueckgeldnachzahlen im aldi die option "rueckgeld nicht zaehlen" im hirn an ist .. kannst dich auch nedmehr beschweren ..

so einfach iss das ..

computer machen nur was der will der davorhockt -g-
 
altf4

altf4

Senior Member
Dabei seit
16.07.2004
Beiträge
365
Reaktion erhalten
0
Ort
Bangkok Noi
Wenn ich aber nun Javascript in meinem Browser deaktiviere, bevor ich auf die Ebay Seite gehe ?
dann ist das problem weg ...

so einfach ist das .. oder aktiviere einfach die option das gefragt wird bevor sowas ausgefuehrt wird ..

das ist zwar nervig (bei manchen seiten)
aber man weiss dan wenigstens was die seite so treibt ...

und kann selbst die entscheidung treffen ..
 
C

Chak2

Gast
Abgesehen davon tummeln sich bei Ebay ohnehin jede Menge Steuerhinterzieher. "Kein gewerblicher Verkauf" und dann bieten die zigmal das gleiche Produkt an, wie lächerlich. (Von der dann erweiterten Garantie gar nicht zu sprechen.)
 
J

joerg

Senior Member
Dabei seit
08.05.2004
Beiträge
162
Reaktion erhalten
0
Ort
Braunschweig
@ alle

es gibt doch so viele alternativen...

schaut doch einfach mal unter http://www.daea.de/ dann auf Häuser gehen...

Dort stehen alle möglichen auch kostenlosen Häuser... ich persönlich halte von ebay nichts mehr , hatte durch zufall entdeckt das die mehr geld abbuchten und erst nach stellung eines Mahnbescheides ( schriftliche beschwerden brachten nichts ) habe ich dann das zu unrecht zuviel abgebuchte Geld sofort zurück erhalten...

Ich gebe immer den Tip für verkäufer mal genau die Ebay Abrechnungen zu überprüfen , auch ob die immer die eigenen Angebote bei Gebühren einhalten...
 
Thema:

Ihr eBay-Passwort: 3, 2, 1 -- meins

Ihr eBay-Passwort: 3, 2, 1 -- meins - Ähnliche Themen

  • Ebay Kleinanzeigen was geht denn hier ab

    Ebay Kleinanzeigen was geht denn hier ab: wir sind dabei unseren Haushalt auf zu lösen, wegen Wohnsitzverlegung nach Thailand, näheres in meinem Block, da bittet sich die Internet...
  • Homepage wie ebay in Thailand

    Homepage wie ebay in Thailand: Hi Ich suche sowas wie ebay, ebaykleinanzeigen etc. für Thailand. Leider bin ich nicht fündig geworden. Kennt ihr so eine Homepage? Danke. P.S...
  • Hilfe! Flugticketbetrug durch Firma Phuket-Fly (Günther Müller, Phuket) ??? bei ebay:

    Hilfe! Flugticketbetrug durch Firma Phuket-Fly (Günther Müller, Phuket) ??? bei ebay:: hallo! wir haben bei der firma Phuket-Fly vier tickets mit turkmenistan airlines von frankfurt nach BKK gebucht und das geld sofort überwiesen...
  • Ebay Thailand (shopping.sanook.com)

    Ebay Thailand (shopping.sanook.com): Wie findet ihr die Preise dort?Nicht für einen bestimmten Artikel sondern einfach im allgemeinen ?
  • Alternativen zu EBAY

    Alternativen zu EBAY: Hallo liebe Mitforisten. Ich wollte gerade ne alte CD von Erasure und nen altes Buch über Leber- & Gallenleiden ;-D bei Ebay reinsetzen. Geht...
  • Alternativen zu EBAY - Ähnliche Themen

  • Ebay Kleinanzeigen was geht denn hier ab

    Ebay Kleinanzeigen was geht denn hier ab: wir sind dabei unseren Haushalt auf zu lösen, wegen Wohnsitzverlegung nach Thailand, näheres in meinem Block, da bittet sich die Internet...
  • Homepage wie ebay in Thailand

    Homepage wie ebay in Thailand: Hi Ich suche sowas wie ebay, ebaykleinanzeigen etc. für Thailand. Leider bin ich nicht fündig geworden. Kennt ihr so eine Homepage? Danke. P.S...
  • Hilfe! Flugticketbetrug durch Firma Phuket-Fly (Günther Müller, Phuket) ??? bei ebay:

    Hilfe! Flugticketbetrug durch Firma Phuket-Fly (Günther Müller, Phuket) ??? bei ebay:: hallo! wir haben bei der firma Phuket-Fly vier tickets mit turkmenistan airlines von frankfurt nach BKK gebucht und das geld sofort überwiesen...
  • Ebay Thailand (shopping.sanook.com)

    Ebay Thailand (shopping.sanook.com): Wie findet ihr die Preise dort?Nicht für einen bestimmten Artikel sondern einfach im allgemeinen ?
  • Alternativen zu EBAY

    Alternativen zu EBAY: Hallo liebe Mitforisten. Ich wollte gerade ne alte CD von Erasure und nen altes Buch über Leber- & Gallenleiden ;-D bei Ebay reinsetzen. Geht...
  • Oben