kostenloser Webspace werbefrei: lima-city


Ebay mit "gefälschten" Bezahl-Button?!

lima-cityForumDie eigene HomepageSicherheit im Internet

  1. Autor dieses Themas

    exclusive-css

    exclusive-css hat kostenlosen Webspace.

    Hallo,
    ich habe neulichst im Fernsehen in Fernsehmagazin gesehen, dass es bei Ebay angeblich eine Sicherheitslücke geben soll. Anscheinend ist es möglich den "Bezahlen"-Button zu fäschen, sodass man auf eine kopierte Pay-Pal-Seite weitergeleitet wird. Dort gibt man dann wie gewohnt seine Daten an... Da die Pay-Pal-Seite ja leider gefälscht ist, erhält der Hacker die Kontodaten und kann vom Pay-Pal-Konto Geld abbuchen.

    Ich verstehe aber absolut nicht wie man den gefälschten "Bezahlen"-Button bei Ebay reinbauen soll?! Wenn dann müsste man doch die gesamte Ebay-Seite fälschen?!

    Ist das Panikmache oder muss ich zukünftig darauf achten?

    Liebe Grüße
    X
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Geht mit Javascript relativ einfach, ist aber hochgradig illegal und wird seitens Ebay auch sicherlich energisch verfolgt werden.
    Einfache Abhilfe: Beim Eingeben auf SSL, Domainnamen und passendes Zertifikat achten.
  4. Einen Button fälschen, so dass du ihn bei jedem Seitenaufruf siehst, einen anderen dafür nicht ist wirklich Pipifax. Das können hier garantiert ein drittel der User ohne Probleme. Wenn man sich als Ebay-Kunde, oder Kunde von ähnlichen Onlineshops einen Schädling einfängt, oder ein Addon im Browser installiert, das das verursacht, kann man sehr schnell in sowas rein kommen. Absolut kein Problem, binnen weniger Minuten gemacht, die Aussage ist wahr.
  5. Sofern du Firefox nutzt, bist du relativ auf der sicheren Seite, da dies meist aufgedeckt wird, wenn man auf eine gefälschte Seite geleitet wird.

    Zudem, einfach auf die Links achten. Ist es nicht der Orginallink, RUNTER DA!
  6. kochmarkus

    Co-Admin Kostenloser Webspace von kochmarkus

    kochmarkus hat kostenlosen Webspace.

    drafed-map schrieb:
    Einen Button fälschen, so dass du ihn bei jedem Seitenaufruf siehst, einen anderen dafür nicht ist wirklich Pipifax. Das können hier garantiert ein drittel der User ohne Probleme. Wenn man sich als Ebay-Kunde, oder Kunde von ähnlichen Onlineshops einen Schädling einfängt, oder ein Addon im Browser installiert, das das verursacht, kann man sehr schnell in sowas rein kommen. Absolut kein Problem, binnen weniger Minuten gemacht, die Aussage ist wahr.

    Man muss sich dazu weder ein Schädling einfangen, noch ein böses Browserplugin installieren. Da reicht schon ein bisschen böses JavaScript im Angebotstext eines ebay Angebots um den Button woanders hinlinken zu lassen...
  7. Man kann bei eBay javascript einbauen?:scared:
    Das kann ich ja kaum glauben.
  8. aklasse schrieb:
    Das ist keine Sicherheitslücke, da es ja nicht von eBay verursacht wird -> Kein Fehler von eBay der ausgenutz wird.

    Es ist ein Sicherheitsrisiko, aber das Wort "Lücke" ist falsch gewählt.


    Ob der Fehler von eBay ausgenutzt wird, ist doch unerheblich.

    Wenn es tatsächlich, wie beschrieben, einfach möglich ist, dem Besucher der diversen eBay-Websites etwas per JavaScript unterzujubeln, was da nicht hingehört, dann ist es sehr wohl Sache des Website-Betreibers, dies zu unterbinden. Tut er es nicht, gibts eine "Lücke" im Sicherheitssystem, die ausgenutzt werden kann und wird -- es gibt schließlich Geld dabei zu verdienen.

    Ursache ist der übermäßige und völlig unnötige JavaScript-Einsatz auf den eBay-Seiten. Wo man bspw. früher mit einfachen Links auskam, wird jetzt immer öfter per JavaScript weitergeleitet. Neben dem Nervfaktor (für Leute wie mich) gibts dann eben auch Sicherheitsprobleme (für die anderen User).

    Ebay erlaubt den Artikel-Einstellern eine weit gehend freie Gestaltung ihrer Angebote. Jeden einzelnen zu kontrollieren, ist nicht möglich. Jetzt braucht es nur noch ein paar Browsereigenheiten, die das Einschmuggeln von Scripten erlauben, die man bei der Prüfung der Eingabedaten übersehen hat.


    Einen gewissen Schutz auf Client-Seite bieten die Addons NoScript und RequestPolicy für den Firefox.
    Bei Opera kann man sich mit den seitenspezifischen JavaScript-Einstellungen behelfen.

    Das bei eBay vorhandene Domain-Gestrüpp (ebay.de, ebay.com usw.) erschwert allerdings dem ungeübten Benutzer das Konfigurieren dieser Filter erheblich.
  9. t****k

    Hey,

    möglich ist es schon, bei Ebay Java einzubauen, denn wenn man einen Artikel versteigert kann man auch Java mit in HTML einbinden und läuft einfach durch ein Button im Hintergrund mit.

    Gefährliche Sache, da muss man echt aufpassen.

    Gruß Tobi
  10. Ich weiß nicht wie viel Ahnung du von javascript hast, aber damit es jeder versteht:
    Javascript ist eine technologie mit der viele Anbieter auf eBay ihre Artikelseiten verschönern. Der Effekt das ein 2. bezahlbutton über den 1. gesetzt wird, ist mit dieser technologie über 100 Wege möglich! Der einzige Weg das zu unterbinden wäre javascript ganz aus ebay zu verbannen. Da So weit ich weiß aber Frames in den Seiten erlaubt sind müsste bei jedem aufruf der Seite der ganze Code von eBay Servern geprüft werden, was Leistungsmäßig schlicht unmöglich ist.
    Anders gesagt: Wenn z.B. Bilddateien in der Lage wären so eine Sicherheitslücke aus zu lösen kann man auch nicht alle Bilder sperren.

    alopex schrieb:
    aklasse schrieb:
    Das ist keine Sicherheitslücke, da es ja nicht von eBay verursacht wird -> Kein Fehler von eBay der ausgenutz wird.

    Es ist ein Sicherheitsrisiko, aber das Wort "Lücke" ist falsch gewählt.


    Ob der Fehler von eBay ausgenutzt wird, ist doch unerheblich.

    Wenn es tatsächlich, wie beschrieben, einfach möglich ist, dem Besucher der diversen eBay-Websites etwas per JavaScript unterzujubeln, was da nicht hingehört, dann ist es sehr wohl Sache des Website-Betreibers, dies zu unterbinden. Tut er es nicht, gibts eine "Lücke" im Sicherheitssystem, die ausgenutzt werden kann und wird -- es gibt schließlich Geld dabei zu verdienen.

    Ursache ist der übermäßige und völlig unnötige JavaScript-Einsatz auf den eBay-Seiten. Wo man bspw. früher mit einfachen Links auskam, wird jetzt immer öfter per JavaScript weitergeleitet. Neben dem Nervfaktor (für Leute wie mich) gibts dann eben auch Sicherheitsprobleme (für die anderen User).

    Ebay erlaubt den Artikel-Einstellern eine weit gehend freie Gestaltung ihrer Angebote. Jeden einzelnen zu kontrollieren, ist nicht möglich. Jetzt braucht es nur noch ein paar Browsereigenheiten, die das Einschmuggeln von Scripten erlauben, die man bei der Prüfung der Eingabedaten übersehen hat.


    Einen gewissen Schutz auf Client-Seite bieten die Addons NoScript und RequestPolicy für den Firefox.
    Bei Opera kann man sich mit den seitenspezifischen JavaScript-Einstellungen behelfen.

    Das bei eBay vorhandene Domain-Gestrüpp (ebay.de, ebay.com usw.) erschwert allerdings dem ungeübten Benutzer das Konfigurieren dieser Filter erheblich.


    Beitrag zuletzt geändert: 2.4.2010 20:22:54 von aklasse
  11. Nein, ich kenne mich mit JavaScript nicht wirklich aus.

    aklasse schrieb:
    ... Der einzige Weg das zu unterbinden wäre javascript ganz aus ebay zu verbannen.


    Würde ich befürworten. Die Qualität des Angebots müsste darunter nicht leiden. Allerdings würden viele User dann wahrscheinlich erschrecken -- denn heutzutage muss ja alles per Klickibunti gehen. Was ein gewöhnlicher Hyperlink ist, wissen nur noch wenige. ;-)

    Da So weit ich weiß aber Frames in den Seiten erlaubt sind müsste bei jedem aufruf der Seite der ganze Code von eBay Servern geprüft werden, was Leistungsmäßig schlicht unmöglich ist.


    Du kannst JavaScript-Code nicht maschinell prüfen. Allenfalls ein bisschen Blacklisting ist möglich, aber das hat systembedingt immer Lücken.


    Anders gesagt: Wenn z.B. Bilddateien in der Lage wären so eine Sicherheitslücke aus zu lösen kann man auch nicht alle Bilder sperren.


    Du wirst lachen: Eingebettete Grafiken sind tatsächlich in der Lage, bei manchem Browser die JavaScript-Engine anzuwerfen. Genauso wie CSS, beliebiger anderer verlinkter Kram oder eine gewöhnliche öffnende geschweifte Klammer "{". Deswegen muss man den JavaScript-Einsatz so weit wie möglich zurückfahren, wenn man das Sicherheitsrisiko klein halten will. Aber das will man bey eBay gar nicht.

    B.T.W.: Als "nerd" solltest du wissen, dass TOFU nicht jedem schmeckt. ;-)

    Beitrag zuletzt geändert: 2.4.2010 20:51:19 von alopex
  12. Ich sehe keine großen Vorteil javaskript zu erlauben.
    Wenn man mehr Gestaltungsmöglichkeiten möchte, könnte man das mit BB-Code machen.
    Vielleicht noch einen eigenen Tag einsetzen.

    Facebook z.B. hat eine eigene Skript-Sprache.
    Mit der ist auch sehr viel möglich.
    Aber nur das was auch unterstützt wird.

    eBay weiß was man damit anstellen kann.
    Und sagt aber theoretisch könntet ihr das machen, aber ihr dürft nicht.

    Ok, Ich hänge mal ein Schlid an die Tür: "Die Tür ist offen aber unbefugte dürfen nicht rein!"
    Vermutlich ist das ein guter Schutz gegen Einbrecher.
    Und ich habe den großen Vorteil, dass ich selbst dann rein kommen, wenn ich keine Schlüssel haben.

    Ach ja, netter weise Liste eBay auch auf was man machen könnte aber natürlich nicht machen darf:
    eBay schrieb:

    Skripte, die vertrauliche Mitgliederdaten, wie z.B. das Passwort abfragen.
    Skripte, die den Benutzer von eBay zu anderen Internet-Angeboten weiterleiten.
    Skripte, die Inhalte außerhalb der Artikelbeschreibung überschreiben.
    Skripte oder HTML-Elemente, die extern liegende Skripte oder Seiten aufrufen oder Inhalte an diese Seiten senden (z.B. über JavaScript Includes oder Iframes). Dazu zählen auch Schaltflächen zu Live-Chat-Systemen.
    Skripte, die Cookies setzen oder auslesen.
    Skripte, die automatisch Pop-up-Fenster oder MS-Assistenten generieren.
    Skripte, durch die automatisch aktive Inhalte von anderen Computern heruntergeladen werden.
    Skripte, mit denen Einträge in der Windows-Registry geändert werden oder Skripte, die auf eine andere Art Daten auf die Festplatte des Benutzers schreiben.
    Skripte, über die automatisch Daten an andere Skripte von eBay gesendet werden.
  13. So wie ich das sehe ist der einzige Grund JavaScript nciht zu verbieten, das es einfach nicht möglich ist das zu überprüfen...
  14. Autor dieses Themas

    exclusive-css

    exclusive-css hat kostenlosen Webspace.

    Also im Bericht wurde gesagt, dass die Journalisten die hinter diesen Trick gelangt sind und den Film gemacht haben Ebay auf die Problematik angesprochen haben. Ebay soll jedoch nicht reagiert haben. Ob das nun als Grund einfache Ignoranz oder Technische Barrieren hat, muss sich jeder selbst denken...

    Javascript zu deaktivieren wenn Frames erlaubt sind bringt dann ja wohl auch nicht viel oder?
  15. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!