17.Mai.2008
Amiga.org (Forum)
|
Cross-site-Scripting: Sicherheitslücke bei PayPal
Wie das Online-Magazin The Register unter dem Titellink berichtet, hat der finnische Programmierer von Amiga-Software (u.a. BlizKick) und Angehörige des MorphOS-Entwicklerteams Harry 'Piru' Sintonen eine Sicherheitslücke beim Online-Bezahlsystem PayPal aufgedeckt.
Diese ist insofern besonders kritisch, als dass sie auf einer Seite auftritt, die das Extended-Validation-SSL-Zertifikat nutzt und den Anwender durch dessen grüngefärbte Adressleiste in Sicherheit wiegt. Zu Demonstrationszwecken öffnen die von Harry Sintonen eingeschleusten Befehle auf der PayPal-Seite beispielsweise ein Fenster mit der rhetorischen Frage "Ist es sicher?" (Filmzitat: Marathon Man).
Im Zuge eines Online-Interviews führte er außerdem vor, wie Anwender nach ihren Zugangsdaten gefragt und diese dann an einen anderen Server weitergeleitet werden können, während der PayPal-URL in der Adressleiste die ganze Zeit über grün bleibt. Des weiteren könnten seinen Angaben zufolge auch Cookies ausgelesen werden.
Auf ähnliche Weise waren vor kurzem auch Grafiken auf amiga.com ausgetauscht, die Sicherheitslücken durch den Webmaster nach diesem Hinweis jedoch sehr rasch geschlossen worden. (snx)
[Meldung: 17. Mai. 2008, 09:27] [Kommentare: 2 - 19. Mai. 2008, 10:24]
[Per E-Mail versenden] [Druck-Version] [ASCII-Version]
|
