• IT-Karriere:
  • Services:

TÜV-Siegel trotz bekannter Sicherheitslücken

Sprich: In diesem Fall hatte der TÜV wohl die Lücke auch selbst gefunden. Wie der TÜV Süd uns später bestätigte, dürfen Webseiten das Safer-Shopping-Siegel oft auch dann weiter tragen, wenn Sicherheitslücken gefunden wurden. Der TÜV setzt lediglich eine Frist, bis wann diese geschlossen werden müssen. Für Kunden der betroffenen Webshops, die sich auf das Versprechen des Gütesiegels verlassen, dürfte das sicher überraschend sein.

Stellenmarkt
  1. finanzen.de, Berlin
  2. SIZ GmbH, Bonn

Zusätzlich haben wir stichprobenhaft einige Shops auf Cross-Site-Request-Forgery-Lücken geprüft. Bei dieser Art von Sicherheitslücke ist es möglich, dass andere Webseiten Aktionen auf einer Webseite mit den Rechten des jeweiligen Nutzers ausführen. Wir fanden relativ schnell zwei Shops, die es uns erlaubten, Produkte zu den virtuellen Einkaufswagen von Nutzern hinzuzufügen.

Der Bürowarenversand Otto Office hat die Lücke nach unserem Hinweis behoben. Beim ebenfalls betroffenen PC-Versand Alternate ist sie nach wie vor ausnutzbar. Informiert haben wir Alternate bereits vor einem Monat.

TÜV bestätigt Lücke auf seiner Seite

Wir haben den TÜV Süd sowie alle betroffenen Shopbetreiber über unsere Funde informiert. Die Lücke auf der TÜV-eigenen Seite wurde uns bestätigt: "Unsere IT-Abteilung konnte den von Ihnen geschilderten Vorgang auf unserer Webseite nachvollziehen und beheben, sodass hier mittlerweile keine Schwachstelle mehr vorliegt. Bei unserer in Kürze anstehenden internen Überprüfung wäre dies aller Voraussicht nach ebenfalls aufgefallen. Die Prüfung nach reflected/stored Cross-Site-Scripting (XSS) gehört hier zur Routine."

Eine Erklärung, warum wir gleich auf mehreren mit Safer-Shopping-Siegel ausgestatteten Webseiten relativ leicht zu findende Lücken entdeckten, hatte der TÜV Süd nicht. Er verwies aber darauf, dass das Prüfverfahren den Ansprüchen der Initiative D21 genüge. "In verschiedenen Aspekten geht das Safer-Shopping-Prüfverfahren sogar deutlich über diese Anforderungen hinaus", erklärte der TÜV. "Zwischen den Prüfungen kann es allerdings durch die Dynamik des Netzes natürlich zu Veränderungen kommen."

Safer-Shopping-Siegel stand schon 2009 in der Kritik

Das Safer-Shopping-Siegel wurde schon früher kritisiert. 2009 kam es zu einem Vorfall beim Onlineshop Libri.de, der ebenfalls mit dem Safer-Shopping-Siegel ausgestattet war. Netzpolitik.org hatte herausgefunden, dass man dort unberechtigt Rechnungen frei im Netz herunterladen konnte. Heise Online berichtete kurz darauf über zahlreiche TÜV-geprüfte Webshops, die von Cross-Site-Scripting-Lücken betroffen waren.

Die Vorfälle kommentierte der Hamburger Datenschutzbeauftragte Johannes Caspar laut älteren Medienberichten gegenüber dem SWR mit den Worten: "Da muss man sich fragen, was sind derartige Zertifizierungen letztlich wert?" Die Frage sollte man sich wohl knapp ein Jahrzehnt später weiterhin stellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Websicherheit: Onlineshops mit nutzlosem TÜV-Siegel
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. (-20%) 11,99€
  2. 2,62€
  3. 4,32€
  4. 3,99€

meinoriginaluse... 28. Okt 2018

Ich gehe davon aus, dass jedes Shopping-Sigel die Geschäftsprozesse des Shops prüft...

arthurdont 27. Okt 2018

Jeder, der einen PKW hat, weiß, was er von der "Marke" TÜV zu halten hat. Aber...

Eheran 27. Okt 2018

Wo soll denn der Gag sein? Diese Online-Plakette hat genau die gleichen Mankos wie die...

rocket_to_russia 26. Okt 2018

Um ein XSS Lücke auszunutzen, muss jemand dazu gebracht werden diese Seite zu besuchen...

User_x 26. Okt 2018

Die haften schon, nur es denen nachweisen wird schwierig.


Folgen Sie uns
       


Brett Butterfield von Adobe zeigt KI-Bildersuche per Sprache (englisch)

Der Befehl: "Mehr Kaffee!" zeigt tatsächlich mehr Kaffee.

Brett Butterfield von Adobe zeigt KI-Bildersuche per Sprache (englisch) Video aufrufen
Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10
  2. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen
  3. Support-Ende Neben Windows 7 ist jetzt auch Server 2008 unsicher

Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch
  3. Consumer Electronics Show Die Konzept-Messe

Ryzen Mobile 4000 (Renoir): Lasst die Ära der schrottigen AMD-Notebooks enden!
Ryzen Mobile 4000 (Renoir)
Lasst die Ära der schrottigen AMD-Notebooks enden!

Seit vielen Jahren gibt es kaum Premium-Geräte mit AMD-Chips und selbst bei vermeintlich identischer Ausstattung fehlen Eigenschaften wie eine beleuchtete Tastatur oder Thunderbolt 3. Schluss damit!
Ein IMHO von Marc Sauter

  1. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  2. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks
  3. Zen+ AMD verkauft Ryzen 5 1600 mit flotteren CPU-Kernen

    •  /