Ursache für Sicherheitslücke bei eBay ist bekannt

Seit gut einem Jahr soll das Auktionshaus eBay eine Sicherheitslücke in ihrer Software haben, die es ermöglicht, das Passwort eines Accounts zu ermitteln. Ein Computerspezialist aus Hannover setzte eBay darüber in Kenntniss, verlangt aber Geld für ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o1] am ++--

komisch, das soll neu sein? Die Sicherheitslücke ist mir bestimmt schon seit über 6 monaten bekannt durch andere berichte...

[re:1] am ++--

@Eagles: Das mag sein, aber Ebay hat das von sich aus nie bestätigt. Jetzt müssen sie wohl... Ich habe mich da schon lange abgemeldet...

[o2] am ++--

ich finde diese JavaScript-Kacke in Auktionen total nervig. Ich will nix rumfliegen haben, sondern ich will sachliche Informationen! eBay sollte JavaScript unterbinden! HTML okay, JS nein!

[re:1] am ++--

@TobWen: genau meine Meinung

[re:2] am ++--

Schließ ich mich an!

[re:3] am ++--

Nun ja, eBay hat ja zumindest externe URLs in JavaScript rausgefiltert, aber halt eben nicht zuverlässig (man kann sie ja zerlegen und mit JavaScript erst wieder zusammensetzen). Aber Sicherheitslücke? Unsinn.

[re:4] am ++--

wer tanzt da wieder mit seiner unbedeutenden meinung aus der reihe ?.rika ! ebay gibt sicherheitslücke zu, rika bestreitet dies wehement...wer hat hier null plan? na..na...stimmt rika ! :)

[re:5] am ++--

@bond7: du solltest nicht so viele Drogen konsumieren, das schadet anscheined deinem Gehirn :))) ...

[re:6] am ++--

rika hat Recht, es ahndelt sich nicht um eine Sicherheitslücke, sondern um ein Feature, welches bei unschgemäßer Benutzung zu einer solchen führen kann. Dafür kann ebay aber herzlichst wenig...

[re:7] am ++--

@Doppelwinkel: im heise forum gibts darüber wohl geteilte meinung und einiges davon was diese lücke bestätigt (grün markiert) ist nachvollziehbar....@ich: sorry, ich nehm sowas nicht..:)

[o3] am ++--

dann freu dich :P

[o4] am ++--

Die Lücke ist uralt. Aber anscheind haben es sich noch nicht vielen Leute zu nutzen gemacht...die Lösung ist ebenfalls net easy.

[o5] am ++--

Und wer gibt das dann einfach mak so ein außer vielleicht mein opa der noch nie was von ebay gehört hat...?

[o6] am ++--

also wenn man JAVA deaktiviert beim reinsetzen müsste das doch nicht mehr gehen oder??? also die ebayprogrammierer sind echt dumm in meinen augen .... so wie ich das hier lese soll das schon seit monaten bekannt sein ... ich wusste nix von ....

[re:1] am ++--

@DMA: jo die sind voll dumm können nichts etc.

boah machs doch besser immer nur meckern können :)

[re:2] am ++--

"Javascript", nicht "Java" :D (doch das ist was ganz anderes)

[re:3] am ++--

Javascript, und nicht Java, fragt sich wer hier der Dumme ist -_-

[o7] am ++--

hmm - ist mir relativ egal. Wer so blöd ist, und dass ner erkennt. Ich mein man weiß doch, WANN ebay sein usernam und pass haben will. naja - leute giebts..

[o8] am ++--

tja, wenn du aber gerade zu diesem zeitpunkt, in dem sich der "hacker" die lücke zum nutzen macht, zum ersten mal auf der seite bist, weißt du nicht wann ebay dein pw und username haben will, und außerdem steht ja in der news, dass mans nich vom original unterscheiden kann ! wer lesen kann ist hald doch noch immer im vorteil :D

[re:1] am ++--

Nicht unterscheiden? Ich kann doch auseinanderhalten, ob die LoginBox im Angebot ist oder nicht.

[re:2] am ++--

@Campy: "wer lesen kann ist hald doch noch immer im vorteil :D " looool das passt hier ja nu gar net hin aber egal *g

[re:3] am ++--

@Campy: maaan, warum kann man nicht editieren!! naja, um nochmal meine Intoleranz zum Ausdruck zu bringen: Ich hasse Newbies :) also sind mir die eh schnuppe cYa

[re:4] am ++--

@lordshadow: lol, man KANN editieren, lass dir mal in MyWinfuture deine Kommentare anzeigen. Und sich dann über newbies aufregen :)

[o9] am ++--

es gibt ja immer die schlauen, dies dann doch noch verraffen.... aber wozu js in ebay..... :)

[10] am ++--

javascript braucht wirklich kein schwein in auktionen....was interessiert mich nen blickender hintergrund wenn ich schuhe ersteigern will

[11] am ++--

Dann nimmt man einfach eine Software die für einen bietet.
Gibt ja genug davon.

Dann kann einem das nicht passieren...

[12] am ++--

Hey, sorry, aber gehts unprofessioneller? Warum wohl sind in Guestbooks, Foren, in allem möglichen Blödsinn im Netz Scripts deaktiviert??? Hat doch sicher einen guten Grund. mfg AleXP

[13] am ++--

eigentlich viel zu simpel

[re:1] am ++--

@m00n: Viele "eigentlich viel zu simple" Dinge werden oft übersehen.

[14] am ++--

btw. hat jemand mal so eine Auktion linken? würd gern mal sehen, wie das nu wirklich ausschaut! :)
vill nehm ich ja dann meine AUssage von vorhin zurück *g

[15] am ++--

Ich weiss ja wirklich nich, aber zu was soll denn das JS gut gewesen sein, dass man das integrieren muss?

[re:1] am ++--

@green: Du verstehst den Sachverhalt nicht. Wenn Du von mir einen Artikel kaufen willst, musst Du dich vor der Gebotsabgabe mit eBay-Namen und Passwort einloggen. Dieser Loginscript ist aber nicht der von eBay, sondern mein böses JS. Das bedeutet, ich habe Deinen eBay-Namen und dein Passwort.