Allgemeines 21.928 Themen, 147.299 Beiträge

Verfolgung starten Optionen

Sicherheitslücke auf nickles.de!

Screenzocker13 / 29 Antworten / Flachansicht Nickles

Wie schon der Titel sagt, hat nickles.de eine Sicherheitslücke.
Wo die Lücke ist:
Wenn man auf "Optionen einstellen" klickt, kommt eine neue Seite in der die Adresszeile so aussieht:
http://www.nickles.de/strict/tools/options.php3?username=xxxxx&password=xxxxx
Dort steht der Benutzername und dass Kennwort! (xxxx)
Wenn man jetzt an einem öffentlichen PC ist, und einer schaut in den Verlauf, dann weis dieser jemand meinen Benutzernamen und das Kennwort!

bei Antwort benachrichtigen
Ich stell das einfach mal mit auf die TODO-Liste, mal sehen was sich das ... Borlander
mal sehen was sich das machen lässt... Da müsste man doch einfach nur bei ... ColinFinck
Wenn man auf Optionen einstellen klickt,... Wo soll dieser link sein? ... Jens2001
Ist es wirklich nötig, so eine Feststellung ins Lächerliche zu ziehen? Ich ... jabath
@jens2001: wenn du dich rechts oben einloggst. erscheint rechts oben der ... hansapark
Zustimm! Hier geht es um Sicherheitsprinzipien. Ob s kritische Daten ... Achim20
...Ob s kritische Daten betrifft oder nicht, spielt keine Rolle. ... ... Jens2001
Sehe ich genauso! Der Vergleich mit der Mülltonne gefällt mir App
Hallo. Es ist ABsolut berechtigt seine persönlichen Daten NICHT für andere ... TAsitO
Was sollen denn die Werbefuzzen mit dem Nickles-Passwort von Jens2001 ?! Na ... Olaf19
Steht da was von Nickles - Passwort . . . . . . . ?? :- Gruss. TAsitO
Ja - im Ausgangsposting. Aber schön, dass wir mal drüber geredet haben ... Olaf19
Da wäre nickles aber bei weitem nicht die einzige unsichere Seite, will ... Die blaue Elise
Mir ist das in der ganzen Zeit noch nicht mal aufgefallen. Bin ... Anonym
Wenn Du an einem öffentlichen PC bist und jemand kommt an dein Profil, dann ... xafford
Man kann viel, wenn man nur möchte... aber ich finde es gut, dass auf ... Balzhofna
Klar ist es gut, daß auf Sicherheitslücken hingewiesen wird, aber ... xafford
Wenn man auf das Anmelden ganz verzichtet und stattdessen bei jedem Posting ... Olaf19
Um nickles.de sicher zu machen, müßte man beim Posten die Verbindung ... The Wasp
Hallo. Wo bist Du denn mit Optionen einstellen . . . ?? hm. Gruss. Wie schon ... TAsitO
Also das mit dem kennwort bei den Postings ist mir auch schon aufgefallen. ... Towa
Hallo zusammen, wenn alles so unsicher sei, wie ich jetzt alles gelesen habe ... Helmuth1967MUC
Da übertreiben ein paar wieder mal masslos. Ich finde, das war ein guter ... Yves3
xafford Yves3 „Da übertreiben ein paar wieder mal masslos. Ich finde, das war ein guter...“
Optionen

Ich finde es an sich keine Übertreibung (meine persönliche Meinung), es zeigt, daß die Leute sich vermehrt Gedanken über Sicherheit machen, was in den letzten Jahren oft fehlte. Ich finde die Entwicklung begrüßenswert, erschwert es doch den "bösen Jungs" letztendlich das Handwerk.
Nur ist eben die Übermittlung der Userdaten über die URL nicht wirklich in großem Maß unsicherer, als über Cookies, höchstens die Übermittlung über Formularfelder ist ein klein wenig sicherer. Problem bleibt aber, wenn jemand an das Profil des Users kommt, dann ist es egal, ob die Daten via GET (also in der URL) oder in einem Cookie gespeichert sind, beides ist im Klartext erkennbar. Nutzt man die Auto-Vervollsäntigung für Formulardaten, dann ist auch die POST-Methode (Formularfelder) unsicher.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Mit dem Übertreiben sind diejenigen gemeint, die sagen, dass das vollkommen ... Yves3
Okay, dann hatte ich dein Posting falsch verstanden. xafford
Sicherheit im Internetcafe Olaf19
Sicherheit im Internetcafe out-freyn
...das würde ich dann aber wenigstens merken :-))___(o.w.T.) Olaf19