Zeige Ergebnis 1 bis 9 von 9

Neue Sicherheitslücken bei ebay...

Erstellt von SonnyB., 15.09.2004, 18:02 Uhr · 8 Antworten · 639 Aufrufe

  1. #1
    Benutzerbild von SonnyB.

    Registriert seit
    14.07.2002
    Beiträge
    8.765
    QUELLE: http://www.rp-online.de/public/artic...internet/61879


    Beim weltgrößten Online-Auktionshaus eBay sind neue Sicherheitslücken aufgetaucht. Das berichtet die Computerzeitschrift "PC Professionell". Danach können Anbieter ihre Offerte unbemerkt für die Bietenden ohne großen Aufwand ändern. Aus dem Superschnäppchen kann so leicht ein Reinfall, aus einem Scheckheft-gepflegten Jahreswagen könnte nach Auktionsende schnell eine Rostschüssel zum Ausschlachten werden.

    Möglich wird das durch durch den Einsatz von HTML-Tags und Javascript, die den Artikelbeschreibungen eine individuelle Note geben. Einige dieser Befehle öffnen aber auch dem Missbrauch Tür und Tor.

    Mit dem /IFRAME/-Tag können beispielsweise Inhalte anderer Webseiten eingebunden werden - Fotos etwa oder zusätzliche Beschreibungen. Die befinden sich aber meist extern von der eBay-Domain und können von ihren Besitzern jederzeit und ohne Kontrolle von eBay geändert werden.

    Sicherheitslücke Nummer 2: Das Einbinden einer externen Grafik, die einen Beschreibungstext enthält, wird nicht explizit durch die eBay-AGBs ausgeschlossen.

    Diese Bilddatei mit einem Text wie /Einwandfreie Funktion/ kann der Verkäufer nach Ablauf der Auktion gegen eine Grafik austauschen, auf der /Defektes Gerät/ zu lesen ist. Nach Ende der Auktion erschweren diese Tricks die Beweisführung, wie die originale Artikelbeschreibung einmal ausgesehen hat.

    eBay reagierte in einer ersten Stellungnahme zurückhaltend und will zunächst das Einbinden externer Inhalte nicht unterbinden, um die Attraktivität des eBay-Marktplatzes nicht zu gefährden. Allerdings wolle man, wo es machbar sei, Sicherheitsmaßnahmen einbauen.

    Scripte, die den eBay-Besucher zu anderen Internet-Seiten weiterleiten, seien ohnehin untersagt genau wie auch "JavaScript"- Includes oder "iframe"-Tags.

    Vor dem Bieten sollten eBay-Nutzer daher in Zweifelsfällen sicherheitshalber ein Bildschirmfoto ihrer Auktion anfertigen, raten die Experten.

  2.  
    Anzeige
  3. #2
    Benutzerbild von DeeTee

    Registriert seit
    19.12.2001
    Beiträge
    1.928
    Bei entsprechenden Kenntnissen kann man die abgespeicherte Ebay-Seite ja auch anstelle HTML mal im Quellcode anschauen ...

    Grüße!
    DeeTee

  4. #3
    Benutzerbild von
    Hmmmmmmm..........

    Nunja, die hier beschriebenen Techniken können missbraucht werden. Das ist allerdings nicht neu (war schon immer möglich und auch kein Geheimnis) und bedarf auch keiner besonderen Technik, sondern einfach nur einem [img]....[/img] Tag im Beschreibungstext (wobei auch im Eingabefeld extra steht, dass HTML erlaubt ist). Im Prinzip machen wir hier im Forum mit [IMG] ja auch nichts anderes als es dort beschrieben wird. Ich bin hier also auch in der Lage Dich mit einer Textgrafik mal so richtig schön zu beleidigen und die Grafik später in meinem Webspace durch die süßesten Komplimente zu ersetzen, wenn Du dann ausgeflippt bist. Ähnliche Betrugsmethoden (vonwegen "100% OK" vs. "defekt") wären auch hier im "Verkaufen"-Forum möglich.

    An sich lohnt sich der Aufwand aber sowieso nicht. Die negative Bewertung gibts bei solchen Methoden sowieso und außer einem tobenden Käufer, einem Dutzend Drohungen mit Anwalt & Pipapo haben uneriöse Privatverkäufer in der Praxis sowieso meistens nicht zu erwarten, da sich Auseinandersetzungen vor Gericht fast nie lohnen. Wenn das Gerät defekt ankommt, wars eben die Post. Ist doch klar, dass das Gerät beim Abschicken 100% i.o. war. Das Gegenteil zu beweisen ist fast unmöglich, der Risikoübergang zum Käufer fand aber beim Versand statt.
    Wie bei so vielen Dingen beim Handel mit unbekannten Personen, helfen hier nur genaue Blicke auf die Bewertungssysteme der Handelsplattform. Wer 5x hintereinander so ein Ding abgezogen hat, wird auch entsprechende Bewertungen kassiert haben, die einen stutzig werden lassen sollten.

    Das die PC Professionell solche webüblichen Selbstverständlichkeiten reisserisch als "neue Sicherheitslücke" in die Welt posaunt, passt allerdings zu meiner Meinung zu diesem "professionellen" Blättchen. Da kann man auch gleich Computer Bild lesen und Geld sparen...

    Wer ganz sicher gehen will und Beweise sichern mag, kann auch mit Hilfe der Taste "Druck" eine Hardcopy erstellen und diese in beliebige Grafik- oder Officeporgramme einfügen und abspeichern. Allerdings kann man damit genau genommen dann wiederum genauso gut betrügen. Mit Photoshop kann ich auf diese Weise so ziemlich jeden Screenshot nach meinen Wünschen verfälschen und dem Verkäufer etwas nachweisen, was er nie geschrieben hat...

    Dave,
    liest lieber c't, Computerwoche und PC Magazin

  5. #4
    Benutzerbild von Lutz

    Registriert seit
    11.10.2002
    Beiträge
    6.814
    Dave Bowman postete

    Das die PC Professionell solche webüblichen Selbstverständlichkeiten reisserisch als "neue Sicherheitslücke" in die Welt posaunt, passt allerdings zu meiner Meinung zu diesem "professionellen" Blättchen. Da kann man auch gleich Computer Bild lesen und Geld sparen...

    Dave,
    liest lieber c't, Computerwoche und PC Magazin
    Ich finde es sowieso heftig mit welchen BLÖDmässigen Überschriften viele Computer-Blättchen mittlerweile aufmachen. Titelseiten a la:

    SO LADEN SICH PROFI RAUBKOPIERER MATRIX X ILLEGAL AUS DEM INTERNET

    sind doch schon fast an der Tagesordnung. Warum verblöden die so? Kämpfen die Blätter derart ums Überleben?

    Lutz

  6. #5
    Benutzerbild von SonnyB.

    Registriert seit
    14.07.2002
    Beiträge
    8.765
    Ich hab das Ganze bei rp-online gefunden....nicht in einem Magazin

    Man sollte meinen, die recherchieren.

  7. #6
    Benutzerbild von Lutz

    Registriert seit
    11.10.2002
    Beiträge
    6.814
    SonnyB. postete
    Ich hab das Ganze bei rp-online gefunden....nicht in einem Magazin

    Man sollte meinen, die recherchieren.
    Ist vielleicht auch immer die Frage wie man solche Manipulationsmöglichkeiten bewertet.

    Ich habe bis jetzt nur positive Erfahrungen mit Ebay gemacht. Ich hab mir dort nach meinem Hardware-Supergau den Rechner wieder sehr günstig zusammenkaufen können. (Streamer für 1 Euro )

    Lutz

  8. #7
    Benutzerbild von
    SonnyB. postete
    Ich hab das Ganze bei rp-online gefunden....nicht in einem Magazin

    Man sollte meinen, die recherchieren.
    Nee, irgendwie sind Tagespresse und TV-Journalisten bei solchen Themen immer noch reichlich unkritisch und unbefleckt. Alles wird nachgeplappert und weiterverbreitet. Wenn ich manchesmal sehe, was irgendwelche sog. IT-Experten im Fernsehen alles erzählen dürfen, ohne das dem Blödsinn jemand Einhalt gebietet, würde es uns reichlich schlecht gehen, wenn das in allen anderen Bereichen auch so wäre.

    Gleiches immer wiederkehrendes Übel der Uninformiertheit und mangelnder Bereitschaft sich über die Themen über die man berichtet, vielleicht auch endlich mal selbst besser zu informieren, gabs auch erst heute wieder bei Spiegel Online:
    http://www.spiegel.de/netzwelt/techn...318184,00.html

    Wann werden die Medien wohl endlich mal lernen, was der Unterschied zwischen Hackern und Crackern ist und über welche Spezies sie gerade wirklich berichten? Es waren ja auch erst 30 Jahre Zeit....

    "Hacker" sind bestimmt keine Gefahr für Online-Banker. Noch nie gewesen... Ganz im Gegenteil.

    Dave

  9. #8
    Benutzerbild von musicola

    Registriert seit
    07.02.2002
    Beiträge
    13.850
    SonnyB. postete
    QUELLE: http://www.rp-online.de/public/artic...internet/61879


    Beim weltgrößten Online-Auktionshaus eBay sind neue Sicherheitslücken aufgetaucht. Das berichtet die Computerzeitschrift "PC Professionell". Danach können Anbieter ihre Offerte unbemerkt für die Bietenden ohne großen Aufwand ändern. Aus dem Superschnäppchen kann so leicht ein Reinfall, aus einem Scheckheft-gepflegten Jahreswagen könnte nach Auktionsende schnell eine Rostschüssel zum Ausschlachten werden.

    Möglich wird das durch durch den Einsatz von HTML-Tags und Javascript, die den Artikelbeschreibungen eine individuelle Note geben. Einige dieser Befehle öffnen aber auch dem Missbrauch Tür und Tor.

    Mit dem /IFRAME/-Tag können beispielsweise Inhalte anderer Webseiten eingebunden werden - Fotos etwa oder zusätzliche Beschreibungen. Die befinden sich aber meist extern von der eBay-Domain und können von ihren Besitzern jederzeit und ohne Kontrolle von eBay geändert werden.

    Sicherheitslücke Nummer 2: Das Einbinden einer externen Grafik, die einen Beschreibungstext enthält, wird nicht explizit durch die eBay-AGBs ausgeschlossen.

    Diese Bilddatei mit einem Text wie /Einwandfreie Funktion/ kann der Verkäufer nach Ablauf der Auktion gegen eine Grafik austauschen, auf der /Defektes Gerät/ zu lesen ist. Nach Ende der Auktion erschweren diese Tricks die Beweisführung, wie die originale Artikelbeschreibung einmal ausgesehen hat.

    eBay reagierte in einer ersten Stellungnahme zurückhaltend und will zunächst das Einbinden externer Inhalte nicht unterbinden, um die Attraktivität des eBay-Marktplatzes nicht zu gefährden. Allerdings wolle man, wo es machbar sei, Sicherheitsmaßnahmen einbauen.

    Scripte, die den eBay-Besucher zu anderen Internet-Seiten weiterleiten, seien ohnehin untersagt genau wie auch "JavaScript"- Includes oder "iframe"-Tags.

    Vor dem Bieten sollten eBay-Nutzer daher in Zweifelsfällen sicherheitshalber ein Bildschirmfoto ihrer Auktion anfertigen, raten die Experten.
    Das ist ja schon fast ne Anleitung zum Betrügen! Sowas nennt man praktisch Anstiftung!

  10. #9
    Benutzerbild von Lutz

    Registriert seit
    11.10.2002
    Beiträge
    6.814
    Dave Bowman postete

    Gleiches immer wiederkehrendes Übel der Uninformiertheit und mangelnder Bereitschaft sich über die Themen über die man berichtet, vielleicht auch endlich mal selbst besser zu informieren, gabs auch erst heute wieder bei Spiegel Online:
    http://www.spiegel.de/netzwelt/techn...318184,00.html

    Wann werden die Medien wohl endlich mal lernen, was der Unterschied zwischen Hackern und Crackern ist und über welche Spezies sie gerade wirklich berichten? Es waren ja auch erst 30 Jahre Zeit....

    "Hacker" sind bestimmt keine Gefahr für Online-Banker. Noch nie gewesen... Ganz im Gegenteil.

    Dave
    Seit wenn beschäftigt sich der Spiegel mit solchen Feinheiten?

    Wie ich bereits an anderer Stelle schrieb: Als ich mal einen Artikel des Spiegel-(Motor)sport-Experten (?) der Printausgabe in die Hände bekam traute ich meinen Augen kaum: Der war entweder erschreckend schlecht recherchiert oder es wurden bewusst Fakten ignoriert. Es sei jedem selbst überlassen zu bewerten was nun schlimmer ist.

    Lutz

Ähnliche Themen

  1. EBAY!! Diverse Maxi-CD´s und Alben ab 1 Euro bei eBay
    Von JR-CDs im Forum 80er / 80s - VERKAUFEN / TO VEND
    Antworten: 2
    Letzter Beitrag: 25.11.2007, 16:57
  2. EBAY!! Wieder einige Maxis bei Ebay.
    Von jogy1219 im Forum 80er / 80s - VERKAUFEN / TO VEND
    Antworten: 0
    Letzter Beitrag: 17.03.2006, 20:54
  3. EBAY!! 2 seltene deutsche Coverversionen ab sofort bei EBAY
    Von Eurobeat im Forum 80er / 80s - VERKAUFEN / TO VEND
    Antworten: 2
    Letzter Beitrag: 07.03.2006, 22:29
  4. Wie findet ihr die neue eBay-Oberfläche?
    Von The Mad Hatter im Forum OT LABERFORUM / OT SMALL TALK
    Antworten: 5
    Letzter Beitrag: 11.07.2004, 14:00