Direkt zum Hauptbereich

Zertifizierte Online-Shops, trügerische Sicherheit!


Online Shopping Sicherheit Trusted Zertifikate gibt es mittlerweile wie Sand am Meer.
Doch was taugt ein Zertifizierter Shop überhaupt.
Was meinen die mit "trusted"...... ist "https" ?? Reicht dass schon ??

Ich habe mit das Zertifikat vom Tüv mal genauer unter die Lupe genommen. Und musste feststellen dass bei einigen Shops trotz (trusted, save, zertifiziert) und anderen ominösen Auszeichnungen. Es offensichtliche Sicherheitslücken gibt. Diese musste ich nicht suchen, sonder die sind mir geradezu ins Auge gesprungen.

Bei ciao.de zum Bleistift ist XSS möglich. Und das ohne Probleme und Einschränkungen. XSS ist allgemein bei vielen Shops möglich. Am besten ist es für einen Angreifer, Shop mit community und einem einheitlichen Login.

Es sind nicht nur mini Shops welche unsicher sind. Es sind OnlineShops von Beate-Uhse, Karstadt-Quelle etc dabei. Also nicht nur komische Läden wo niemand einkauft!!


So wird es leicht gemacht Daten auszulesen, und man kann den XSS Code sehr effektiv weiterverbreiten. Manche Shops führen zweifelhafte Sicherheitsblockaden ein. Da steht dann etwas wie "a attack was bla bla your ip bla bla". Uhh jetzt gehts aber los. Ich hab nur gesucht.

Macht aber nichts. Das hat mich immehin dazu angespornt einen workaround zu finden. Beim IE zumindest klappts dann auch mit dem script. Denn komischerweise sind html tags mit style erlaubt ???? Was zum Teufel ist da los????
Es kann doch nicht wahr sein. Ich glaube das Entwickeln Menschen die haben keine Ahnung wie man so einen Angriff durchführt. Wie wollt ihr euch vor etwas Schützen von dem ihr keine Ahnung habt was es macht? Und wie es geht??

Egal. Zumindest hat diese Testreihe aufgezeigt dass Trusted nicht Trusted ist. Und dass man lieber aufmerksam ist als Kunde. Denn wer weiß wo ihr euch einloggt?? Auch ciao.de oder auf GibMirDeineDaten.de

Vielleicht vertrauen auch die Shop Betreiber auf diese Zertifikate. Die haben gesagt wir sind sicher. Ja die schauen ja nur ob die Daten per https übertragen werden, ob die Ware ankommt, der Umtausch Funktioniert usw.... die schauen doch nicht ob eure Server und Software sicher ist. Das machen die Zertifikate nicht. Und mal im ernst, die Zertifizierer wollen nur Geld verdienen. Die möchten nicht prüfen ob der Kunde dort sicher ist. Die wollen nur Profit. Das sind AGs da geht es um Geld machen nicht um mich oder Dich als Kunde!

Im Anhang habe ich eine Liste mit Shops welche eindeutige Sicherheitsmängel auf der Seite beinhalten. Also Augen auf beim Online Kauf!


Ich hab jeden Shop nur kurz angetestet. Also nicht länger als 5 Minuten. Und dass ist dafür ein verherendes Ergebniss:

Liste der Shops mit Sicherheitslücken:

boc24.de
Conrad Extreme, ja Xtrem unsicher
Conrad-Security.de Sicher doch muss man sagen
Topdeq.de
Essen-und-Trinken (kein shop) community
Karstadt-Quelle Versicherung. Hoffentlich hält die Versicherung mehr als die Seite ;-)
Modeschmuck.de einigermaßen sicher. Schreckt kleine Kids ab. Wenn erfahren auch unsicher
Elektromotorenmartk.de
Eddiebauer.de
Eis.de
Beate-Uhse, ein heißes Pflaster
Orion.de genauso gut wie oben
Gebrüder Götz

Die Liste der nicht entdeckten Lücken in anderen Shops könnte noch länger werden. Aber ich kann ja nicht wochenlang hier shops testen. Das Zahlt ja niemand. Kennt jemand noch nen unsicherehn shop;-) Einfach als Kommentar Posten ich nehms in die Liste auf.

Bilder sagen mehr als Tausend Worte:












Labels:

Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

Mean.io aggregate assets in the correct order

Im working with mean.io framework which builds some little helper around the mean stack, to make things faster. If you aggregate an assets, it helps a lot to know that you can easily set things into the correct order with the option weight. The default weight is 0 when you dont set this option: mean.io framework I18n.aggregateAsset('js', 'lib/angular-translate/angular-translate.js',{absolute:true, weight:100 });I18n.aggregateAsset('js', 'lib/angular-translate-storage-local/angular-translate-storage-local.js',{absolute:true, weight:101});I18n.aggregateAsset('js', 'lib/angular-translate-storage-cookie/angular-translate-storage-cookie.js',{absolute:true, weight:102});
Kommentar veröffentlichen
Mehr anzeigen

Soziale Netze und die Sicherheit! Report Kwick!

Die Sozialen Netzwerke, neudeutsch: Social Networks, halten nicht allzu viel von Sicherheit. Vor allem müssten die Entwickler viel mehr für das Thema XSS Sensibilisiert werden. D enn Potentielle Angreifer finden jede Schwachstelle im System. Und wer lange genug sucht der wird imme r fündig. Es sollte den An greifern nur nicht allzu einfach gemacht werden. Kwick.de hatte bis zum 20.06.08 auch noch oder wieder ein Problem mit XSS. Betroffen waren so gut wie alle Suchformulare auf der Seite. Per zufall bin ich auf diesen Umstand aufmerksam geworden. Eines sei gesagt. Bei Kwick kann man sich nun getrost Anmelden denn die Sicherheitslücke wurde sofort behoben. Also eine sichere Sache. Andere Social Networks haben ähnliche XSS Probleme, eigentlich erschreckend viele. Die Namen möchte ich nicht nennen denn sonst rennen vielleicht ein Paar Dummys dahin und testen es gleich......... Nachdem ich dieses Problem dem Betreiber gemeldet hatte wurde es auch Postwendend behoben. Nur aus diesem Gru
Kommentar veröffentlichen
Mehr anzeigen