Erneut ist bei Web.de (Börse Frankfurt: WE2) ein Sicherheitsloch aufgetaucht. Systemadministratoren ist es möglich, anhand der Logfiles der Firewall in das Postfach jedes Web.de-Users der eigenen Firma zu gelangen.
„Ich habe es wiederholt ausprobiert und war auch im Account meines Chefs
Neueste Kommentare
5 Kommentare zu Erneut Sicherheitsloch bei Web.de
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Wunder-URL?
Was soll das für eine "magische" URL sein? Da ich sowohl GMX- als auch web.de -User bin, habe ich das Spielchen heute morgen selbst durchgespielt. Bei web.de war nach einigen Minuten der Laden dicht (Timeout), während ich mich bei GMX noch jetzt -mehr als zwei Stunden später- mit der alten URL einloggen kann.
Wer lesen kann…
…ist klar im Vorteil.
In meinem Bericht heißt es, dass wir über eine solche URL verfügen, mit der das Login ohne Timeout möglich ist. Dieser Login funktioniert auch heute, drei Tage nach Entdeckung des Lochs, nach wie vor – und zwar unabhängig vom Timeout, das Web.de gesetzt hat.
Nichts für ungut…
Martin Fiutak
Team ZDNet
Schwachsinn
Erstens existiert dieses Problem _SEHR WOHL_ auch bei GMX und zweitens hat web.de _SEHR WOHL_ einen Timeout gesetzt, der sogar niedriger ist als bei GMX. Selbst wenn man die web.de Seite in angemeldetem Zustand geöffnet läßt, ist es nach wenigen Minuten nicht mehr möglich, eine Mail zu verschicken, ohne sich zuvor neu anzumelden. Ich frage mich was derartige Meldungen sollen. Es sollte nicht allzu schwierig sein, den Wahrheitsgehalt solcher Behauptungen zu überprüfen. Im übrigen sollte klar sein, daß Administratoren prinzipiell so ziemlich alles mitlesen können, es sei denn, man verwendet firmenweites VPN oder für diesen Fall einen Proxy mit Verschlüsselung (z.B. safeweb.com oder the-cloak.com. Was die mit den Daten machen ist dann natürlich wieder eine andere Frage ;-) ).
log out?
Was mich interessieren würde: Hat sich der User auch ordnungsgemäß ausgeloggt? Für mich klingt das nämlich ganz danach, daß das nicht passiert ist. Wenn ich mich auslogge, kann ich nicht einmal mehr mit dem "zurück"-button zu meinen Mails zurückkehren, wie soll das dann ein anderer können???
amateurhafter Fehler
>Auf den Bug angesprochen versprach
>Web.de gegenüber ZDNet, den
>Sachverhalt zu prüfen. Kurz darauf
>erklärte Web.de-Sprecherin Eva
>Vennemann: "Grundsätzlich sind alle >http-Verbindungen im Internet in
>igendeiner Art und Weise im Klartext
>und somit lesbar. So ist das Internet
>aufgebaut." Aus diesem Grund biete
>Web.de schon seit Anfang an eine SSL
>-Verbindung, bei der die TCP/IP-Pakete
>verschlüsselt und nicht ausspähbar
>über das Internet übertragen werden.
Mag zwar sein, dass per SSL-Verschlüßelung die Daten so gut wie nicht mehr lesbar für Dritte sind, doch dies hilft noch lang nicht gegen diesen amateuhaften Bug, die sich die Entwickler von web.de bei der Erstellung der Software für das online-lesen von narichten geleistet haben.
1. Fehler: In dem link der durch das Login-Script erstellten Seiten darf niemals der Benutzername oder das passwort auftauchen.
Man könnte den Link (zu den "geheimen Seiten") mit Hilfe eines Zufallgenerators (den es in jeder Programmiersprache gibt) erstellen lassen, dadurch würde bei jedem Login der Link variieren …
2. Fehler: Nach Beendigung der Sitzung werden die "geheimen Seiten" nicht automatisch gelöscht.
Entweder macht man einen simplen javascript, der ein Programm startet, dass diese geheimen Seiten beim verlassen automatisch löscht oder man lässt einen selbstprogrammierten Daemon oder ähnliches auf dem System laufen, dass die Sessions nach x Minuten (Stunden oder Tage) automatisch löscht.
Wenn sogar ich (als derzeit Hobby-Programmierer) in der Lage bin, solch ein System zu entwickeln (was auch anständig funktioniert), dann dürften diese (gut bezahlten) Leute das doch auch sein …