Vorsicht: Ebay-Passwörter sind nicht sicher

das ist auch ok, ich hatte bei ca. 25 Auktionen nur einmal Pech, verlor auch nur 12?. Ein Freund wurde dank EBay-Haftungsbeschränkung nur um 25? geprellt, ansonsten wären es heftige 80 gewesen. Der Trick des Betrügers war so simpel, dass er einem echt die Grundsatzfrage aufwirft.

Was mir also zu denken gibt, sind die prinzipiellen Probleme, die in letzter Zeit von der Presse sicher maßlos aufgeputscht wurden, aber im Grunde ja vorhanden sind. Somit fühle ich mich nicht sicher bei EBay, genauso wie ich schon seit Jahren vermeide, den IE zum Surfen zu nutzen (ja doch, ich weiß, dass auch andere Browser Lücken haben, Herr Gott!). Sobald Lücken bekannt sind werden sie genutzt und das bei EBay heftig.
Und dann eben noch der unglaubliche Ramsch, der die seriösen und guten Angebote vollkommen verschleiert.

Das heißt nicht, dass ich EBay komplett meiden werde, aber ich nutze es nur für Kleinkram oder bei Händlern, die auch sonst am Markt agieren. Ohne JavaScript zu nutzen...

der_skeptiker

 

Lieber "Skeptiker",

bei aller Liebe, aber: Wie kann man angesichts der skizzierten Szenerie, Betrug allenthalben, überhaupt von Ebay "leben"? Sind die Betrüger gemeint, die von Ebay "leben", oder stimmt etwas semantisch nicht?

Fragen über Fragen...

MfG

 

So krass würde ich das nicht sehen. Hab ebay erst dieses Jahr für mich entdeckt und mir ein Nintendo NES ersteigert, wie ich es zu Kinderzeiten hatte. Ältere Bücher kann man auch sehr günstig bekommen. Bisher hatte ich bei 5 Ersteigerungen absolut keine Probleme, hoffendlch bleibt es so.

Gruß
indic

 

Hallo Leute

beachtet aber, dass die Site, die Ihr in die "Eingeschränkte Zone" packt, auch tatsächlich http://cgi.ebay.de ist, und nicht http://www.ebay.de !
Der IE ist ja so intelligent konstruiert, dass Sub-Domains nicht in Betracht genommen werden !

Grüße


Borrris

 

@ sunshiny: Würde ich auch so sehen, denn wie soll der "Hacker" denn dann an deine Logindaten kommen?

 

... aber doch nur, wenn ich auf einer Angebotsseite mit entsprechendem Javascript nach dem "Bieten" aufgefordert werde meine Benutzerdaten einzugeben.

Wenn man sich schon zuvor eingeloggt hat doch nicht. Eine SSL Verschlüsselung wird von einer Angebotsseite nach dem "Bieten" gar nicht ermöglicht.

Gruß

 

SSL bietet hier nicht den geringsten Schutz!
Zwar verschlüsselt SSL die Verbindung zwischen Ihnen und ebay, jedoch wird durch das Javascript die Webseite so manipuliert, das die Logindaten überhaupt nicht an ebay geschickt werden.

Ob der Transfer zwischen Ihnen und dem Datendieb nun SSL verschlüsselt ist interessiert dann auch nicht mehr weiter

wollen wir hoffen, das Ebay seine Javascript-Filter bald auf den neusten Stand bringt.

Grüße Philipp

 

Guter Hinweis. Die Gefahr wird aber nur gemindert und nicht beseitigt. Die Grundtechnik ist ja, dass Sie auf einen anderen Server umgeleitet werden. Das funktioniert auch, wenn Sie sich vorher einloggen.
Wenn man daran denkt, dass beim Klick auf den Bieten-Knopf (wenn man eingeloggt ist) eigentlich nicht der Login-Screen und die Mahnung, dass man https verlässt kommen dürfte, fällt man in der Tat nicht auf den Trick rein. Aber wie gesagt, man muss daran denken.
Einfach Javascript ausschalten (oder besser ebay in die entsprechende Zone packen) erscheint mir da sicherer.

 

Da Sie es nicht Fixen wollen. Ist das mehr als richtig es öffentlich zu machen. So kann sich jeder schützen oder gar die Plattform meiden.

 

Missstände, Sicherheitslücken etc. gehören unbedingt aufgeklärt und veröffentlicht!
Ist es nicht jedoch eine Frage des Stils, wie dies geschieht? Wird deren Gefährdungspotenzial nicht völlig unnötig erhöht, indem sie detailliert beschrieben werden?

Klärte jemand auf, dass z.B. EC-Karten "geknackt" werden könnten, veröffentlicht seine Entdeckung und schreibt, dass er die technischen Details über das "wie" seiner Entdeckung dem Sparkassen- und Giroverband mitgeteilt hat (und kann vielleicht sogar schon von einer ersten Antwort/Reaktion berichten) wird ihm mit Sicherheit die mindestens gleiche Bewunderung zuteil kommen, als wenn er diese (für den Wert der Meldung völlig unwichtigen Details) in der Öffentlichkeit ausgeplaudert hätte... Denn das weckt doch nur schlafende Hunde und animiert Trittbrettfahrer!!

Dass eBay für sein unmögliches Verhalten mal gehörig vor den Koffer getreten wird, ist wohl (nicht nur in dieser Runde) unstrittig.

 

Ich finde es absolut richtig, alle Details zu veröffentlichen. Man kann das gar nicht groß genug aufziehen, da eBAY scheinbar wieder einmal durch Tatenlosigkeit glänzt und daran wie so oft festhält.

Microsoft behebt seine Sicherheitsprobleme in der Regel ja auch erst, wenn es den öffentlichen Hinweis gibt.

Es ist schon ein Skandal, in dem Wissen solch eklatanter Probleme, sich darauf zu berufen, eBAY sei ohne JavaScript unattraktiv. Die haben doch nur Angst, dass die Umsätze einbrechen, wenn ein paar nette und bunte Gimmicks fehlen.

Deren vollmundige Werbung, alles sei sicher und super Service inkl. ist immer mehr und mehr eine Lachnummer.

Das einzige was bei eBAY sicher ist, ist die Gebührenhöhe. Die wird sicher bald wieder steigen anstatt zu sinken.

 

Das Javascript, das auf einen anderen Server umlenkt, wurde aus diesem Grund nicht publiziert. Das ist ja das entscheidende Skript. Das PHP-Skript letztlich unwichtig und trivial. Bei der Bezeichnung PHP haben Sie Recht (da hatte ich mich auf ein Lexikon verlassen). Das werden wir korrigieren.

 

Moin,

ich stimme cocktails zu. Natürlich muß über diese Sicherheitslücke gesprochen werden, aber für diese Information ist das Skript an sich völlig irrelevant.

Das wird doch höchstens ein paar Skript-Kiddies animieren.

Nebenbei, lieber Andreas: PHP heißt nicht Personal Home Page, hat es auch noch nie und wird es auch nie (außer vielleicht in DataBecker-'Büchern' oder CB-Tutorials). Es ist einfach nur ein Akronym für PHP: Hypertext Preprocessor. Bitte nicht mit PHP/FI von Rasmus Lerdorf vermischen!

Gruß,
mm

 

Funde ich nicht.

Jeder sollte wissen, wie einfach er angreifbar ist. Nur so kann man sich schützen.

 

zu 1, wenn das wahr ist und schaden dadurch endsteht wird E-Bay wohl haftbar sein.

zu 2, es gibt auch gute andere Auktionshäuser die sogar komplett Gratis sind.
Leider darf ich hier keine direkte Werbung mit nem Link posten.
Aber wer in mein "Profil" geht findet unter "Links" auf meiner HP eine alternative.

 

Wie sagt der Ebaysprecher doch immer so gerne :
Ebay glaubt an das gute im Menschen...

 

...wenn eBay der Meinung ist, daß nur Javascript die Attraktivität des Auktionshauses steigert, sollten die Nutzer von eBay ihnen mit mit einer eMail klarmachen, daß ein sicheres eBay für sie wesentlich attraktiver ist. Hier der Link zu dem eMail-Kontaktformular von eBay zum Thema "Schutz Ihrer Mitgliedsdaten":
http://cgi3.ebay.de/aw-cgi/eBayISAP...Schutz von Mitgliedsdaten - njs&bcrumb=Themen
Schreibt also, vielleicht ändert eBay ja noch seine Meinung bezüglich der Attraktivität...

 

Das ist echt ne Frechheit. Werd gleich mal eine Beschwerdemail an Ebay schreiben!

Gruß
MC LAINE

 

Das ist definitiv richtig. Nur wird es keine Lösung für das Problem geben, da der Fehler nicht in einem JavaScript steckt, sondern wenn ich das richtig verstanden habe, an einem Designfehler in der Anwendung selbst. Wie wäre es sonst zu erklären, dass Login-Daten überhaupt den Weg auf einen externen Rechner finden können. Zu einem sicheren Sessionmanagment gehört nicht viel, aber an sowas scheint man schlichtweg bei der Entwicklung nicht gedacht zu haben => um das zu lösen, müsste man ebay komplett neu programmieren. Aber nach dem mich mal jemand aufgeklärt hat, wie das in größeren Unternehmen funktioniert... - in den nächsten 5 Jahre wird's wohl nichts. Das erklärt auch die aktuelle Gebührenpolitik. Man weiss, dass es zu Ende geht und nimmt noch mit was man kriegen kann.

Gruss, Matthias

 

... aber doch nicht, so lange es noch schreiber so origineller forenbeiträge gibt, oder ...?