Online Shopping Sicherheit Trusted Zertifikate gibt es mittlerweile wie Sand am Meer.
Doch was taugt ein Zertifizierter Shop überhaupt.
Was meinen die mit "trusted"...... ist "https" ?? Reicht dass schon ??
Ich habe mit das Zertifikat vom Tüv mal genauer unter die Lupe genommen. Und musste feststellen dass bei einigen Shops trotz (trusted, save, zertifiziert) und anderen ominösen Auszeichnungen. Es offensichtliche Sicherheitslücken gibt. Diese musste ich nicht suchen, sonder die sind mir geradezu ins Auge gesprungen.
Bei ciao.de zum Bleistift ist XSS möglich. Und das ohne Probleme und Einschränkungen. XSS ist allgemein bei vielen Shops möglich. Am besten ist es für einen Angreifer, Shop mit community und einem einheitlichen Login.
Es sind nicht nur mini Shops welche unsicher sind. Es sind OnlineShops von Beate-Uhse, Karstadt-Quelle etc dabei. Also nicht nur komische Läden wo niemand einkauft!!
So wird es leicht gemacht Daten auszulesen, und man kann den XSS Code sehr effektiv weiterverbreiten. Manche Shops führen zweifelhafte Sicherheitsblockaden ein. Da steht dann etwas wie "a attack was bla bla your ip bla bla". Uhh jetzt gehts aber los. Ich hab nur gesucht.
Macht aber nichts. Das hat mich immehin dazu angespornt einen workaround zu finden. Beim IE zumindest klappts dann auch mit dem script. Denn komischerweise sind html tags mit style erlaubt ???? Was zum Teufel ist da los????
Es kann doch nicht wahr sein. Ich glaube das Entwickeln Menschen die haben keine Ahnung wie man so einen Angriff durchführt. Wie wollt ihr euch vor etwas Schützen von dem ihr keine Ahnung habt was es macht? Und wie es geht??
Egal. Zumindest hat diese Testreihe aufgezeigt dass Trusted nicht Trusted ist. Und dass man lieber aufmerksam ist als Kunde. Denn wer weiß wo ihr euch einloggt?? Auch ciao.de oder auf GibMirDeineDaten.de
Vielleicht vertrauen auch die Shop Betreiber auf diese Zertifikate. Die haben gesagt wir sind sicher. Ja die schauen ja nur ob die Daten per https übertragen werden, ob die Ware ankommt, der Umtausch Funktioniert usw.... die schauen doch nicht ob eure Server und Software sicher ist. Das machen die Zertifikate nicht. Und mal im ernst, die Zertifizierer wollen nur Geld verdienen. Die möchten nicht prüfen ob der Kunde dort sicher ist. Die wollen nur Profit. Das sind AGs da geht es um Geld machen nicht um mich oder Dich als Kunde!
Im Anhang habe ich eine Liste mit Shops welche eindeutige Sicherheitsmängel auf der Seite beinhalten. Also Augen auf beim Online Kauf!
Ich hab jeden Shop nur kurz angetestet. Also nicht länger als 5 Minuten. Und dass ist dafür ein verherendes Ergebniss:
Liste der Shops mit Sicherheitslücken:
boc24.de
Conrad Extreme, ja Xtrem unsicher
Conrad-Security.de Sicher doch muss man sagen
Topdeq.de
Essen-und-Trinken (kein shop) community
Karstadt-Quelle Versicherung. Hoffentlich hält die Versicherung mehr als die Seite ;-)
Modeschmuck.de einigermaßen sicher. Schreckt kleine Kids ab. Wenn erfahren auch unsicher
Elektromotorenmartk.de
Eddiebauer.de
Eis.de
Beate-Uhse, ein heißes Pflaster
Orion.de genauso gut wie oben
Gebrüder Götz
Die Liste der nicht entdeckten Lücken in anderen Shops könnte noch länger werden. Aber ich kann ja nicht wochenlang hier shops testen. Das Zahlt ja niemand. Kennt jemand noch nen unsicherehn shop;-) Einfach als Kommentar Posten ich nehms in die Liste auf.
Bilder sagen mehr als Tausend Worte:
Kommentare