Author Archives: ich

Deutschland sicher im Netz: “möglicherweise”

https://www.sicher-im-netz.de/pages/datenschutz

Datenschutz

Nutzung von Daten
Die Website erfasst möglicherweise auch bestimmte Informationen über Ihren Besuch auf der Website, wie den Namen des Internetdienstanbieters und die IP-Adresse (Internetprotokoll), über die Sie auf das Internet zugreifen, Datum und Uhrzeit Ihres Besuchs auf der Website, die aufgerufenen Seiten unserer Website und die Internetadresse der Website, über die Sie direkt zu unserer Website gelangt sind. Diese Informationen werden zur Verbesserung der Website, zur Analyse von Trends und zur Verwaltung der Website genutzt.

Diese Daten werden “möglicherweise” erfasst? Weiß man dies nicht oder ist diese Datenschutzerklärung nur eine Floskel wie auf hunderten anderen Seiten? “Ungefähr 447 Ergebnisse

Es ist kein Verbrechen Piwik auf einem anderen Server (https://www.dsin-blog.de/piwik/piwik.js) für die Analyse der Seitenbesuche zu verwenden. Warum wird dies nicht erwähnt? Wahrscheinlich weil es einem egal ist und eh niemand, bis auf den Korinthenkacker, in die Datenschutzerklärung reinschaut.

Sicherheit im Netz beginnt bereits mit Datensicherheit und Datenschutz. Wenn ich mir diese Datenschutzerklärung anschaue, dann zweifle ich an der Ernsthaftigkeit. Auch

Persönliche Daten
Persönliche Daten werden wissentlich nicht erfasst.

klingt für mich eher nach einer Ausrede von James Clapper.

US-Geheimdienstchef Clapper: Meister im Grabenkampf” (spiegel.de)

Mit der Wahrheit nimmt es James Clapper nicht immer so genau. Im März zum Beispiel, als der demokratische Kongressabgeordnete Ron Wyden den obersten US-Geheimdienstchef bei einer Anhörung fragte, ob die NSA tatsächlich die Telefondaten von Millionen Amerikanern erfasse. Wyden kannte die Antwort (ja) und hatte Clapper auch vorgewarnt. Trotzdem antwortete der: “Nein, Sir…nicht wissentlich.”

eBay-Passwort == Passwort

Meine eBay-Mitgliedschaft kündigen
(…)
Nachdem Ihre Mitgliedschaft aufgehoben wurde, können Sie Ihren aktuellen Nutzernamen oder Ihre E-Mail-Adresse bei eBay oder Half.com nicht mehr verwenden.

Ich habe dies so verstanden, dass die von mir verwendete E-Mail-Adresse und mein Nutzername nicht mehr für die Registrierung zur Verfügung steht. Den Nutzernamen eines gelöschten Kontos für die Registrierung zu sperren, scheint mir eine sinnvolle Maßnahme zu sein. Es kann also niemand meinen alten Nutzernamen übernehmen, um sich für mich ausgeben?! Ein Szenario welches mir auch gar nicht behagen würde.

Meine Kündigung ist eine Woche her,

Wenn Sie bis vor Kurzem Angebote eingestellt oder auf Artikel geboten haben, muss zunächst eine Wartezeit von bis zu 7 Tagen verstreichen.

also wollte ich nun sehen, ob mein Nutzername und meine E-Mail-Adresse wirklich gesperrt sind. Sorry eBay, mein Fehler — ich habe euch falsch verstanden. Mir war es möglich, mit der alten E-Mail-Adresse eine Registrierung durchzuführen. Bei der Registrierung bekam ich einen vom System generierten Nutzernamen zugewiesen, den ich aber ohne Probleme in meinen alten ändern konnte. Nun habe ich also einen jungfräulichen eBay-Account, mit der gleichen E-Mail-Adresse und dem gleichen Nutzernamen, wie mein alter Account.

Mit dem oben zitierte Abschnitt will mir eBay also nur sagen:

Nachdem Ihre Mitgliedschaft aufgehoben wurde, können Sie sich weder bei eBay noch bei Half.com einloggen, weil auch ihre Zugangsdaten gelöscht wurden.

Das man sich nach dem Löschen eines Accounts nicht mehr mit den soeben gelöschten Zugangsdaten einloggen kann ist irgendwie klar und bedarf keiner weiteren Erläuterung — dachte ich zumindest. Aber es ist ja eBay, da rennen total verrückte Menschen rum, die ein “Alles OK” mit einer neutralen Bewertung abgeben oder sich bei Vorkasse darüber beschweren, dass sie die Ware noch nicht bekommen haben, obwohl sie nicht gezahlt haben. Gesunder Menschenverstand und eBay schließen sich aus, bei den eBay-Käufern/-Verkäufern genauso wie bei den Entwicklern von eBay selber.


Bei der Neuregistrierung habe ich natürlich! noch etwas gespielt. ;O)

Der Wahnsinn
eBay: password
hat Methode!
eBay: passwort

Als Beweis, dass Passwort wirklich akzeptiert wurde ein kurzer Screencast dazu:

Wer Passwort als Passwort wählt, der hat immer gleich die Passworterinnerung dabei: Einfach schauen was oberhalb des Eingabefeldes steht. ;O)


Bei zu häufigen Loginversuchen wird ein Captcha angezeigt.
eBay: Captcha

Captcha steht für: Completely Automated Public Turing test to tell Computers and Humans Apart

Zu Deutsch: vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen

(Siehe: http://de.wikipedia.org/wiki/Captcha)

Das Captcha soll hier automatische Loginversuche verhindern. Es soll also verhindern, dass ein Script so lange Passworte ausprobiert, bis es das gültige Passwort gefunden hat.

Schauen wir uns einmal den Response vom Server an:
eBay: Captcha
eBay: Passwort richtig
Der Unterschied sind die Cookies die geschrieben werden. Sobald das gültige Passwort gefunden wurde, werden zwei weitere Cookies geschrieben.

  • 5 Cookies bei einem falschen Passwort und
  • 7 Cookies bei dem richtigen Passwort.

Weshalb dann auch Length etwas größer wird:
eBay: Brute-Force

Dieser Fehler der Entwickler ist nichts Außergewöhnliches, über so etwas bin ich schon öfter bei meinen Penntests gestolpert. eBay bzw. deren Entwickler haben allerdings fast 20 Jahre Erfahrung, weshalb man solche Kinderkacke dort nicht finden sollte. Ersetzt eBay erfahrene Entwickler regelmäßig mit unerfahrenem Frischfleisch oder wie kommt dies?

Zum 40jährigen werde ich dann noch einmal bei eBay vorbei schauen, ob sich etwas signifikantes an der Sicherheit verbessert hat. ;O)