Kommt mir bekannt vor. Ist mir auch neulich passiert,
als ich von einer Universitätsdruckerei in Amerika ein
Buch bestellen wollte. Auch alles mit SSL und verschlüsselt.
Dann war im Bestellformular der Hinweis irgendwo “Dieses Feld
bitte bei Verwendung von MS Internet Explorer nicht ausfüllen,
da es sonst Probleme gibt” o.ä. Merkwürdig, warum wollte das
nicht gehen? Ein kleiner Blick in den Quellcode zeigt ein
Formular mit einigen hidden Feldern, deren Benamsung darauf
schließen lässt, dass das Ganze mit Template X formatiert
und an Datei Y angehängt wird. Und einige Pfadkomponenten der
Datei Y stimmen mit Teilen der aktuellen URL überein… also
einmal Ersetzen in der Location-Zeile, und ich hatte eine
Liste mit den Bestellungen der letzten 12 Monate oder so,
komplett mit Kreditkartennummer, Email-Adresse, usw. Scheint
auch keinem aufgefallen zu sein.
Als ich das später meldete, haben sie die Seiten vom Netz
genommen (eigentlich war das System auch schon durch ein
neueres, angeblich sichereres ersetzt worden; ich war durch
einen Link in einer Suchmaschine in einen Teil der alten
Site gelangt). Fand ich aber schon äußerst dürftig — man
speichert Daten nicht in einem Bereich, auf den der Webserver
zugreifen kann! (Oder zuallermindest tut man dies in einem
Verzeichnisbaum, der durch Authentication geschützt wird.)

This entry was posted on Montag, Mai 12th, 2008 at 04:03 and is filed under Allgemein. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.