Auch etracker hat Sicherheitsprobleme


Vor kurzem hatte ich berichtet, dass Pressebox.de ein Sicherheitsproblem mit Sessions hatte, die über Referrerlogs von völlig fremden zum unbefugten Login genutzt werden konnten.
Jetzt hat auch etracker, einer der größten deutschen Webseitenstatistikservices, ähnliche Probleme: Wer den Service nutzt und im Statistikbereich fremde URLs anklickt (z.B. solche, die zu seiner Seite verwiesen haben), schenkt diesen damit wiederum eine funktionierende Session-ID.
Ein Freund von mir hat es heute nochmal getestet und es funktioniert. Der Fremde ist mit dieser Session dann ganz normal eingeloggt, wie der Besitzer des Accounts, und kann beliebige Änderungen vornehmen.





Thomas Promny bei Google+ folgen

Geschrieben am Donnerstag, 10. Februar 2005 und abgelegt unter Netzgeschehen. Verfolgen Sie die Diskussion zu diesem Beitrag per RSS 2.0 Feed. Sie können diesen Beitrag kommentieren oder einen Trackback von Ihrer eigenen Webseite setzen.

 
« Microsoft geht ganz vorsichtig härter gegen Piraterie vor
Google hostet Wikipedia »
 
 

Ein Kommentar zu “Auch etracker hat Sicherheitsprobleme”

  1. Christian Bennefeld
    25. April 2005 um 16:40

    Schade, dass auch unvalidierte Berichte in einem guten Blog landen. Das beschriebene Problem bestand im Jahr 2002 und wurde seit langem beseitigt. Nach Rücksprache mit dem ‘Freund’ konnte dieser sein Vorgehen nicht reproduzieren. Ich darf an dieser Stelle betonen, dass keine Sicherheitlücken bei etracker bekannt sind und wir permanent durch externe Audits die Sicherheit von etracker überprüfen. C. Bennefeld, GF etracker GmbH

Kommentar abgeben:

Powered by WP Hashcash