Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Live-Demo zeigt Passwortklau bei eBay

JavaScript in Auktionen ermöglicht Phishing-Attacken. Die Eingabe von Passwörtern bei eBay ist nicht sicher, darauf weist jetzt das Entwicklerteam von Validome hin, das dazu eine eBay-Auktion entsprechend präpariert hat. In einer Live-Demo lässt sich die Sicherheitslücke nachvollziehen. Echte eBay-Passwörter werden dabei nicht benötigt und es sollten tunlichst auch nur Fantasiedaten verwendet werden.
/ Jens Ihlenfeld
Kommentare News folgen (öffnet im neuen Fenster)

Möglich wird der Angriff, da sich in eBay-Auktionen JavaScript einbauen lässt. Eine entsprechend präparierte Auktionsbeschreibung führt so dazu, dass beim Klick auf "Bieten" statt der Login-Seite von eBay eine gefälschte Seite erscheint. Allerdings funktioniert dies nur, solange der Internet Explorer mit dem in der Standardeinstellung aktivierten Active Scripting zum Einsatz kommt.

In der Demo, die Validome zusammen mit heise.de und andawari anbietet, werden die Login-Daten anschließend ausgegeben, aber nicht gespeichert. Im Falle eines echten Angriffs wäre dies sicher nicht der Fall.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Neu ist die so sehr anschaulich präsentierte Sicherheistlücke indes nicht - die eBay-Geschäftsbedingungen untersagen zwar mittlerweile den Einsatz entsprechender Scripte, technisch möglich ist ihr Einsatz aber dennoch. Voraussichtlich ab Januar 2005 will eBay laut Heise.de die Sicherheitslücke mittels Software-Update geschlossen haben. Abhilfe schafft bis dahin nur das Abschalten von JavaScript beim Besuch von eBay.

Zur Startseite Kommentare

Relevante Themen

VerschlüsselungSecuritySicherheitslückeWirtschaftOnlinehandelDatensicherheitPasswortE-Commerce