TÜV-Siegel trotz bekannter Sicherheitslücken

Sprich: In diesem Fall hatte der TÜV wohl die Lücke auch selbst gefunden. Wie der TÜV Süd uns später bestätigte, dürfen Webseiten das Safer-Shopping-Siegel oft auch dann weiter tragen, wenn Sicherheitslücken gefunden wurden. Der TÜV setzt lediglich eine Frist, bis wann diese geschlossen werden müssen. Für Kunden der betroffenen Webshops, die sich auf das Versprechen des Gütesiegels verlassen, dürfte das sicher überraschend sein.

Stellenmarkt
  1. Digital Service Coordinator (m/w/d)
    Samsung Electronics GmbH, Frankfurt am Main
  2. App Developer iOS / Android (w/m/d)
    ZIEHL-ABEGG SE, Künzelsau
Detailsuche

Zusätzlich haben wir stichprobenhaft einige Shops auf Cross-Site-Request-Forgery-Lücken geprüft. Bei dieser Art von Sicherheitslücke ist es möglich, dass andere Webseiten Aktionen auf einer Webseite mit den Rechten des jeweiligen Nutzers ausführen. Wir fanden relativ schnell zwei Shops, die es uns erlaubten, Produkte zu den virtuellen Einkaufswagen von Nutzern hinzuzufügen.

Der Bürowarenversand Otto Office hat die Lücke nach unserem Hinweis behoben. Beim ebenfalls betroffenen PC-Versand Alternate ist sie nach wie vor ausnutzbar. Informiert haben wir Alternate bereits vor einem Monat.

TÜV bestätigt Lücke auf seiner Seite

Wir haben den TÜV Süd sowie alle betroffenen Shopbetreiber über unsere Funde informiert. Die Lücke auf der TÜV-eigenen Seite wurde uns bestätigt: "Unsere IT-Abteilung konnte den von Ihnen geschilderten Vorgang auf unserer Webseite nachvollziehen und beheben, sodass hier mittlerweile keine Schwachstelle mehr vorliegt. Bei unserer in Kürze anstehenden internen Überprüfung wäre dies aller Voraussicht nach ebenfalls aufgefallen. Die Prüfung nach reflected/stored Cross-Site-Scripting (XSS) gehört hier zur Routine."

Golem Karrierewelt
  1. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    28.-30.09.2022, Virtuell
  2. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    22./23.11.2022, Virtuell
Weitere IT-Trainings

Eine Erklärung, warum wir gleich auf mehreren mit Safer-Shopping-Siegel ausgestatteten Webseiten relativ leicht zu findende Lücken entdeckten, hatte der TÜV Süd nicht. Er verwies aber darauf, dass das Prüfverfahren den Ansprüchen der Initiative D21 genüge. "In verschiedenen Aspekten geht das Safer-Shopping-Prüfverfahren sogar deutlich über diese Anforderungen hinaus", erklärte der TÜV. "Zwischen den Prüfungen kann es allerdings durch die Dynamik des Netzes natürlich zu Veränderungen kommen."

Safer-Shopping-Siegel stand schon 2009 in der Kritik

Das Safer-Shopping-Siegel wurde schon früher kritisiert. 2009 kam es zu einem Vorfall beim Onlineshop Libri.de, der ebenfalls mit dem Safer-Shopping-Siegel ausgestattet war. Netzpolitik.org hatte herausgefunden, dass man dort unberechtigt Rechnungen frei im Netz herunterladen konnte. Heise Online berichtete kurz darauf über zahlreiche TÜV-geprüfte Webshops, die von Cross-Site-Scripting-Lücken betroffen waren.

Die Vorfälle kommentierte der Hamburger Datenschutzbeauftragte Johannes Caspar laut älteren Medienberichten gegenüber dem SWR mit den Worten: "Da muss man sich fragen, was sind derartige Zertifizierungen letztlich wert?" Die Frage sollte man sich wohl knapp ein Jahrzehnt später weiterhin stellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Websicherheit: Onlineshops mit nutzlosem TÜV-Siegel
  1.  
  2. 1
  3. 2


meinoriginaluse... 28. Okt 2018

Ich gehe davon aus, dass jedes Shopping-Sigel die Geschäftsprozesse des Shops prüft...

arthurdont 27. Okt 2018

Jeder, der einen PKW hat, weiß, was er von der "Marke" TÜV zu halten hat. Aber...

Eheran 27. Okt 2018

Wo soll denn der Gag sein? Diese Online-Plakette hat genau die gleichen Mankos wie die...

rocket_to_russia 26. Okt 2018

Um ein XSS Lücke auszunutzen, muss jemand dazu gebracht werden diese Seite zu besuchen...



Aktuell auf der Startseite von Golem.de
Militärischer Weitblick in Toys (1992)
Ein vergessener, wenngleich prophetischer Film

Der Kinofilm Toys von 1992 ist heute weitgehend vergessen. Zu Unrecht, gab er doch eine erstaunlich gute Prognose darüber ab, wie heutzutage Krieg geführt wird.
Ein IMHO von Mathias Küfner

Militärischer Weitblick in Toys (1992): Ein vergessener, wenngleich prophetischer Film
Artikel
  1. Programmierung: Volvo bringt Rust in die Auto-Software
    Programmierung
    Volvo bringt Rust in die Auto-Software

    Das Rust-Team bei Volvo will die Nutzung der Sprache in der Auto-Software deutlich ausweiten. Bis hin zu sicherheitskritischen Anwendungen.

  2. Jetzt SysAdmin-Profi werden und über 60 Prozent sparen!
     
    Jetzt SysAdmin-Profi werden und über 60 Prozent sparen!

    Nur noch bis Freitag, 30. September: 27 Stunden geballtes Know-how zu fortgeschrittenen SysAdmin-Themen wie Active Directory, Microsoft 365 und PowerShell für nur 150 Euro (statt 400 Euro).*
    Sponsored Post von Golem Karrierewelt

  3. Kreditfunktion: Apple Pay Later soll sich verzögern
    Kreditfunktion
    Apple Pay Later soll sich verzögern

    Apples Kreditfunktion Apple Pay Later soll erhebliche technische Probleme haben. Eine Verzögerung bis 2023 soll realistisch sein.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Jetzt PS5-Verkauf bei Saturn & Media Markt • CyberWeek: PC-Zubehör, Werkzeug & Co. • Günstig wie nie: Gigabyte RX 6900 XT 864,15€, MSI RTX 3090 1.159€, Asus Mainboard 168,60€, Fractal Design RGB Tower 129,90€ • MindStar (Palit RTX 3070 549€) • Thrustmaster T300 RS GT 299,99€ • Alternate (iPad Air (2022) 256GB 949,90€) [Werbung]
    •  /