In den letzten Tagen habe ich mal wieder etwas Zeit gehabt um mir, auch ohne Auftrag, verschiedene WebSites, bezüglich Sicherheit, anzuschauen.

Ich fand, mal wieder per Google, Fehlermeldungen aus TYPO3, in denen freundlich darauf hingewiesen wurde das es einen “Anmeldefehler” gab. Das tolle daran… der Benutzername und das Passwort wurden gleich im Klartext mitgeliefert.
Das betroffene Onlinemagazin in der Schweiz und die User deren Zugangsdaten öffentlich wurden habe ich, wie ich es immer mache, per E-Mail auf das Problem hingewiesen. Reaktion: KEINE!

Leider ist das Ignorieren die häufigste Reaktion. Manchmal wird zumindest der Fehler beseitig, aber ein “Danke” bekomme ich eher selten.

Anders lief es bei einem öffentlich zugänglicher phpMyAdmin-Zugang. Auch hier schrieb ich der WebMasterin. Die erste Reaktion war “So sieht mein Admin nicht aus ”. Tja, das ist ja auch nicht der Admin, sondern die Schaltstelle dahinter, in der man alles was geschrieben wurde ändern oder löschen kann. Über solch einen Zugang kann man natürlich auch ganz neue Beiträge für eine WebSite schreiben. ;O) Da habe ich dann eine weitere E-Mail geschrieben, mit erklärenden Screenshots. Die Reaktion auf meine zweite E-Mail war dann “Ah ja, ok, vielen Dank, wird morgen früh sofort geändert! Lieb von Dir,”. Und das Loch wurde auch wirklich geschlossen.

Wie gesagt, ein “Danke” hat leider Seltenheitswert, deswegen erwähne ich es.

Und gestern habe ich dann auf einem Portal einer großen Stadt gleich zwei große Löcher gefunden. Dort kann man sich per ‘ or ’1′=’1 als admin anmelden und die Passworte der mehr als 200 registrierten User kann man im Klartext lesen… <kopfschüttel>

Mal schauen ob und wenn ja, wie die auf meine E-Mail reagieren.