nicht angemeldet
Referrer- SIcherheitslücke bei URLs mit "persönlichen" Daten?
Hallo,
Es gibt doch best. Sites, die in der URL der personlaisierten SEite den USername und das verschlüsselte Passwort beinhalten (z.B. bei ebay).
Wenn ich jetzt ohne mich auszuloggen auf eine andere Site gehe, könnte doch der WEbmaster in seinen LOogfiles die Referrer-URL aufrufen und wäre unter meinem Namen eingeloggt, ohne mein Passwort zu kennen.
Was haltet ihr davon?
MfG Hans
-
Hallo Hans
Es gibt doch best. Sites, die in der URL der personlaisierten SEite den USername und das verschlüsselte Passwort beinhalten (z.B. bei ebay).
Nein, das ist nur eine zufällig erzeugte ID. An dieser erkennt dich der Server und kann dadurch die Daten, die er in seinem Speicher abgelegt hat, aufrufen. Das ganze nennt sich Sessions.
Wenn ich jetzt ohne mich auszuloggen auf eine andere Site gehe, könnte doch der WEbmaster in seinen LOogfiles die Referrer-URL aufrufen und wäre unter meinem Namen eingeloggt, ohne mein Passwort zu kennen.
Das ist natürlich eine Sicherheitslücke, wenn die Session als String übergeben wird, deshalb solltest du dich immer ausloggen oder keinen Links folgen. Wenn die Session-Seite ordentlich programmiert ist, gehen aber sowieso keine direkten Links auf eine externe Seite, sondern erst durch ein Script, das der aufgerufene Server dann als Referer erhält. Außerdem Sessions verfallen auch nach einer Weile, damit ein Missbrauch nicht möglich ist.
Schöne Grüße
Johannes
--
ss:| zu:) ls:[ fo:) de:] va:) ch:? sh:( n4:& rl:( br:< js:| ie:{ fl:( mo:}-
Tach auch,
Wenn ich jetzt ohne mich auszuloggen auf eine andere Site gehe, könnte doch der WEbmaster in seinen LOogfiles die Referrer-URL aufrufen und wäre unter meinem Namen eingeloggt, ohne mein Passwort zu kennen.
Das ist natürlich eine Sicherheitslücke, wenn die Session als String übergeben wird, deshalb solltest du dich immer ausloggen oder keinen Links folgen. Wenn die Session-Seite ordentlich programmiert ist, gehen aber sowieso keine direkten Links auf eine externe Seite, sondern erst durch ein Script, das der aufgerufene Server dann als Referer erhält. Außerdem Sessions verfallen auch nach einer Weile, damit ein Missbrauch nicht möglich ist.
Wenn aber nicht mit Sessions gearbeitet wird sondern einfach nur das Passwort unverschluesselt uebergeben wird, dann kann das ziemlich fiese Folgen haben.
Ich kenne mindestens eine Site wo man sich diese "Free Homepage mit Homepage Builder" einrichten kann (so aehnlich wie die beruehmt-beruechtigte Beepworld) und das Passwort unverschluesselt in der URL uebergeben wurde (oder vielleicht noch immer wird).
Ich fand das allerdings sehr praktisch: Ich konnte direkt in meinen Logfiles sehen wer direkt auf eins meiner Bilder verlinkt hatte. Und dann den Link gleich selber entfernen. Ich haette natuerlich auch noch ganz andere Sachen machen koennen, wovon ich allerdings dann doch Abstand genommen habe.
Gruss,
Armin--
Location: Swindon/Wiltshire/England/UK/Europe/Northern Hemisphere/Planet Earth/Solar System/Milky Way Galaxy/Universe
http://www.ministryofpropaganda.co.uk/-
Hallo Armin
Wenn aber nicht mit Sessions gearbeitet wird sondern einfach nur das Passwort unverschluesselt uebergeben wird, dann kann das ziemlich fiese Folgen haben.
Das ist aber grob fahrlässig vom Serverbetreiber. Ich glaube, sowas könnte auch rechtliche Probleme mit sich bringen.
Ich kenne mindestens eine Site wo man sich diese "Free Homepage mit Homepage Builder" einrichten kann (so aehnlich wie die beruehmt-beruechtigte Beepworld) und das Passwort unverschluesselt in der URL uebergeben wurde (oder vielleicht noch immer wird).
Ououh!
Ich fand das allerdings sehr praktisch: Ich konnte direkt in meinen Logfiles sehen wer direkt auf eins meiner Bilder verlinkt hatte. Und dann den Link gleich selber entfernen. Ich haette natuerlich auch noch ganz andere Sachen machen koennen, wovon ich allerdings dann doch Abstand genommen habe.
LOL.
Schöne Grüße
Johannes
--
ss:| zu:) ls:[ fo:) de:] va:) ch:? sh:( n4:& rl:( br:< js:| ie:{ fl:( mo:}
-
-
-
hi,
Es gibt doch best. Sites, die in der URL der personlaisierten SEite den USername und das verschlüsselte Passwort beinhalten (z.B. bei ebay).
Wenn ich jetzt ohne mich auszuloggen auf eine andere Site gehe, könnte doch der WEbmaster in seinen LOogfiles die Referrer-URL aufrufen und wäre unter meinem Namen eingeloggt, ohne mein Passwort zu kennen.der referer wird nur beim klicken auf einen link übertragen; wenn du oben in der adresszeile einen neuen URL eintippst und so auf eine andere seite wechselst, dann besteht dieses "problem" also nicht.
bei links auf solchen seiten musst du hingegen aufpassen, z.b. wenn du auf einer ebay-seite ein vom verkäufer verlinktes bild anklickst.
in diesem falle wäre es dann z.b. ratsam, lediglich über das kontextmenü das linkziel zu kopieren und in einem neuen browserfenster oder -tab per c&p einzufügen und aufzurufen ...gruss,
wahsaga