Vorgestern bekam ich eine E-Mail von einem der 120 WebSite-Betreiber, nach immerhin mehr als einem Monat:

zunächst einmal herzlichen Dank für Ihren Hinweis. Wir haben die von Ihnen angesprochene Sicherheitslücke durch unsere Agentur überprüfen lassen.

Dennoch möchte ich nicht verschweigen, dass die Art, wie Sie öffentlich mit dieser Problematik umgehen, bei mir auch auf Unmut gestoßen ist. Ich zitiere aus einem Ihrer Artikel in Ihrem Blog:

“Die 120 WebSites werde ich anschreiben, mal schauen ob und wie sie reagieren. Ich höre jetzt schon die Verantwortliche: “An den Haaren herbeigezogen!”, “Kein wirkliches Sicherheitsproblem!”, “Identitätsdiebstahl!? Unsinn!”. Wenn die Mails raus sind werde ich eine Weile abwarten, die WebSites noch einmal prüfen und dann über die Reaktionen oder auch das Fehlen dieser, schreiben. Die die dann weiterhin das XSS-Problem ignorieren können sicher sein das sie von mir genannt werden.”

Die angedeutete “Drohung” halte ich im Sinne der von Ihnen gewünschten Aufklärung in Sachen Sicherheitslücken für wenig Ziel führend.

Dieser Mensch ist die Nummer 20… die anderen 100 schweigen noch zu dem Problem… und das XSS-Problem hat seine Agentur noch nicht wirklich gefixt. Die Agentur hat nur dafür gesorgt das exakt das Beispiel, welches ich per E-Mail versandt hatte, nicht mehr funktioniert. Aber wenn man den XSS-Angriff etwas modifiziert, dann besteht das Problem noch immer.


An dieser Stelle ein Hinweis an alle der Gruppe-120:
Wenn Sie meinen Blog lesen, dann wird Ihnen sicher aufgefallen sein das ich keine direkten Hinweise zu Lücken gebe. Ich beschreibe ein Problem niemals so, das jemand die Lücke auf den von mir gefundenen WebSites ausnutzen kann.

<einschub>
Der Blogeintrag zu dem Heise-XSS-Bug ist die Ausnahme, da im Forum von Heise darüber geschrieben wurde, das dort sonderbare Zeichen angezeigt wurden. Da die Heise-Mitarbeiter in dem Forum mitlesen, um Verstöße gegen die Forumsregeln zu ahnden, kann man davon ausgehen das sie auch die entsprechenden User-Beiträge gelesen haben. Da die von mir beschriebene XSS-Lücke auf der Heise-Seite aber nicht wirklich mißbraucht werden kann, ist für Heise diese Lücke nicht wichtig.
</einschub>

Wenn ich Fehler finde dann ist mein Hauptanliegen immer die Beseitigung des Fehlers, damit nicht Besucher oder Kunden der WebSite geschadet wird, niemals das der WebSite-Betreiber einen Schaden erleidet.

Meine “Drohung” war nur eine leere Drohung, in der Hoffnung das mehr WebSite-Betreiber das Problem beseitigen würden…

17% haben mir per E-Mail eine Rückmeldung gegeben, ein nicht überraschender Wert, ich kenne es nicht anders. Was mich dann schon eher verwundert ist, das nur 31% die XSS-Lücke behoben haben.

Von denen die mir geantwortet haben haben aber nicht alle das Problem auch behoben. Entweder weil sie die Problematik nicht verstanden haben oder weil sie der Meinung sind daß das Problem zu vernachlässigen ist… was das “nicht verstehen” auch wieder mit einschließt.


Da schreibt mir z.B. einer:

zunächst einmal vielen Dank für den Hinweis.
Wir werden uns die Sache ‘mal ansehen und ggfs. patchen.

Er hat die XSS-Lücke aber nicht behoben, sie scheint ihm wohl unwichtig, auch wenn er als Dienstleister davon schreibt das seine Schwerpunkte im Bereich “Netzwerke und deren Sicherheit” liegen und bei der Bekämpfung von “Hackerangriffen”.

Die von mir gefundene XSS-Lücke bei dem Dienstleister betrifft nicht nur seine eigene geschäftliche WebSite, wo nur ein Defacement (de.wikipedia.org) möglich wäre, sondern leider auch eine WebSite die er pflegt, auf der User angemeldet sind. Diese WebSite enthält u.a. einen kleinen Markt, mit knapp 3000 Kleinanzeigen, also wenn man so will eine kleine Community. Dort ist nicht nur ein Defacement möglich sondern eben auch das Mitlesen von Logindaten.

Da der Betreiber des Marktplatzes offensichtlich nicht gewillt ist seine Kunden zu schützen, fällt er als Ansprechpartner aus. Wie kann man nun die betroffenen User warnen ohne böswillige Hacker anzulocken?


Es gibt aber auch WebSite-Betreiber aus der Gruppe-120, die kreativ mit dem Problem umgegangen sind. Bei einem bekommt man folgendes angezeigt, wenn der Versuch gemacht wird in die URL etwas hineinzuschmuggeln:
Es ist ein möglicher Cross-Site Scripting (XSS) Angriff.


Noch ein kleines Schmankerl:
Bei meiner E-Mail-Aktion habe ich den Dienstleister angeschrieben, sofern ich diesen rausfinden konnte, damit ich auf jemanden treffe der das Problem versteht. Es gab auch Dienstleister der Gruppe-120 bei denen auch das XSS-Problem besteht/bestand. Also habe ich dem Dienstleister geschrieben das auf seiner WebSite und der seines Kunden ein XSS-Problem vorliegt. Und was macht der Dienstleister? Er fixt das Problem auf der eigenen WebSite, aber auf der des Kunden besteht das Problem nach wie vor!? Was soll das? Wenn der Dienstleister zwar noch im Impressum der betroffenen WebSite aufgeführt wird, aber gar keine geschäftliche Verbindung mehr besteht, dann kann er natürlich das Problem nicht selber beheben, aber er sollte doch zumindest so fair sein und seinem alten Kunden den Hinweis zu dem Problem zukommen lassen. Vielleicht hat er dies auch getan, aber der Kunde ist der Meinung XSS ist kein Problem. Auf jeden Fall steht der Dienstleister noch immer im Impressum der, noch immer für XSS anfälligen, WebSite.