1
2
3
4
5
6

Gesamtbetrag:
	$0,99 USD
Gebühr:
	-$0,34 USD
Nettobetrag:
	$0,65 USD (entspricht )

Die ziehen von einer $0,99 Spende mehr als 1/3 an Gebühren ab! Wie dreist ist denn das? Solche Praktiken hinterlassen leider auch bei eingehenden Spenden einen schlechten Nachgeschmack, und das Problem ist: Es gibt keine wirkliche Alternative zu Paypal. Schade.

Wer mir dennoch $ 0,99 spenden will, von denen dann etwa $ 0,65 bei mir angekommen – hier kann man eine Spende für easyComment abgeben. Vielen Dank!

Anmerkung: Diese Story ist nicht als Eigenwerbung gedacht, und es würde mir sehr leid tun, wenn es so rüberkommt. Die ganze Sache hat mich rein privat verfolgt und ich beschloss mal einen Blick drauf zu werfen!

Als ich heute Mittag auf Fefe’s Blog über den Libri-Datenskandal im Bezug auf das Homepage-Sicherheitssigel des TÜV SÜD gelesen habe, war für mich eines sofort klar:

Mein Softwareprojekt wird an diesem Freitagmittag keine großen Sprünge mehr machen, und ich werde diesem ominösen, aber auch sehr seriös anmutenden Sicherheitssiegel auf den Zahn fühlen!

Gesagt, getan. Die Homepage des TÜV SÜD zu diesem lukrativen Geschäftsfeld zeigt ein mit McAfee SECURE – vormals HackerSafe – vergleichbares Geschäftskonzept auf: Man zahle für eine Sicherheitsüberprüfung der Homepage, dann darf man sich mit einem kleinen Bild schmücken das Sicherheit suggeriert.

Schon bei HackerSafe gab es harsche Kritik wegen der allzu bereitwilligen Vergabe des Prädikats “Dies ist eine sichere Webseite, gib uns all deine Daten”, und die wird es nach Lektüre dieses Beitrags verdientermaßen auch beim TÜV SÜD geben.

.. also nahm ich kurzfristig einige Stichproben aus den Referenzkunden unter die Lupe; ein kurzer Test auf XSS und SQL-Injection, das übliche eben.

Auf der Hälfte der von mir “überprüften” Seiten existieren Sicherheitslücken.

• Audible.de
• Borromedien.de
• ReifenDirekt.de
• weg.de
• .. und sogar auf safer-shopping.de, der TÜV-eigenen Seite !!!

Welche Art von Sicherheitslücken?

Die Sicherheitslücken wurden durch Screenshots dokumentiert, um die angesprochenen Webseiten nicht in Verlegenheit zu bringen. Sie sind aber allesamt auch von einem 16jährigen mit etwas Fleiß auffindbar. Und auch wenn es sich nur um Cross-Site Scripting (XSS) handelt, kann man damit von Session-Hijacking über Phishing bis zu einem XSS-Wurm viele lustige Sachen machen. Vor allem mit einem vertrauenserweckenden https:// in der Adresse!

Audible.de Sicherheitslücke

Audible.de Sicherheitslücke: Die Banane tanzt.

Auf Audible.de ist das TÜV SÜD Sicherheitssiegel ziemlich versteckt am Rand der Homepage unten links angebracht. Die Seite erscheint auch sehr solide, jedenfalls bis man sich etwas tiefer in die Archive eingräbt, und sie funktioniert auch mit einem https:// am Anfang der URL. Feine Sache!

Borromedien.de Sicherheitslücke

Borromedien XSS Sicherheitslücke

Ein weiter Bücherversand, von dem ich vorher noch nie gehört habe. Das TÜV-Siegel ist eindrucksvoll unter dem Login-Feld angebracht, und in dessen direktem Umfeld tritt ironischerweise eine Cross-Site Scripting Lücke auf. Ich hätte gerne ein schöneres Fundstück auf Borromedien präsentiert, aber der Programmierer hat scheinbar einen Sinn für Humor!

ReifenDirekt.de / delti.com Sicherheitslücke

ReifenDirekt.de Sicherheitslücke mit SSL-Unterstützung. Auf die Sache mit der Banane bin ich immernoch stolz!

Reifendirekt.de ist ein sehr guter und auch preiswerter Reifenversand, ich habe dort letzt erst Sommerreifen gekauft. Leider läuft die ganze Seite über https://, und da macht sich eine XSS-Lücke leider nicht gut. Das TÜV-Siegel haben sie zum Glück aber schon mal in Richtung Seitenende verschoben. Die Lücke gibts umsonst

weg.de Sicherheitslücke

weg.de Sicherheitslücke, wenn auch nur auf optionaler Domain. Banana's still dancing!

Weg.de hat es schon ein bisschen schwerer gemacht. Aber es ist natürlich logisch dass Benutzerinput gut gefiltert wird, wenn die Software den ganzen Tag Suchanfragen nach nettem Urlaub parsen muss.

Das ist nun nicht ganz weg.de sondern cardelmar.de, aber afaik benutzen die nur eine eigene Domain für eine bestimmte Urlaubskategorie. Auf ein paar anderen zur Seite gehörenden Domains bröckelt es auch ein bisschen..

TÜV SÜD (safer-shopping.de) Sicherheitslücke

Safer-Shopping.de Sicherheitslücke (TÜV SÜD). Jetzt hat sich die Banane eingebrannt, nicht wahr?

.. last but not least gibt es auf der Sicherheits-Homepage des TÜV SÜD eine nette Sicherheitslücke. Mit SSL.

Damit verliert die ganze Sache mit dem Sicherheitssiegel leider enorm an Glaubwürdigkeit, wenn der einzige Punkt im Programm, an dem ein String als Parameter akzeptiert wird die Filterung nicht richtig hinbekommt.

Dies sind die Momente, die das Leben wieder lebenswert machen

Fazit

Bis auf große Versicherungsgesellschaften wie AXA, HanseMerkur und Karstadt-Quelle Versicherungen, sind die vom TÜV SÜD für besondere Homepagesicherheit zertifizierten Webshops kein Deut sicherer als andere Seiten.

Selbst ohne Benutzerkonto präsentieren sie bösartigen Personen genügend Angriffsfläche für allerlei Sachen die am Ende die Kunden ausbaden müssen. Unter einer Sicherheitszertifizierung hätte ich mir zumindest einen groben Penetrationtest vorgestellt, der bei den aufgezeigten Homepages mit großer Wahrscheinlichkeit nicht durchgeführt wurde, da selbst ein Wald-und-Wiesen-Hacker wie ich Erfolg hatte.

Zum Nachdenken: Für diesen Report habe ich inkl. Artikelschreiben ca. 3 Stunden benötigt, für ein kommerzielles Siegel kann man doch wohl einen Studenten kurz drüberschauen lassen, oder?

Anmerkungen

Falls Sie mit einer der angesprochenen Webseiten etwas am Hut haben, so schreiben sie mich an und ich zeige ihnen gerne den genauen Ort der Sicherheitslücken, damit die Sache möglichst schnell aus der Welt geschafft ist. Kontaktmöglichkeiten siehe Impressum.

EDIT: Da ich jetzt schon darauf angesprochen wurde: Ja, die Sicherheitslücken wurden den jeweiligen Homepages natürlich sofort auf verschiedenen Wegen mitgeteilt. Mit dem Aufruf zur Kontaktaufnahme in diesem Blogpost wollte ich nur die Sysadmins erreichen, die man eher auf Heise als im Kundensupport findet. Wenn ein Unternehmen erstmal die Alexa-5000 “Schallmauer” durchbrochen hat, dann dauert es manchmal länger, bis das Supportticket den richtigen Bearbeiter findet, als wenn der IT-ler eines Unternehmens die Sache sowieso in den News liest und sich nicht an mich herantraut.

Falls jemandem von den Quadratwurzeln meine 2 Cents gefallen hat so möge er sich doch bitte bei mir melden. Schon erledigt, dankeschön!

Alle Rechtschreibfehler dürfen behalten werden, ich genieße ab sofort meinen Freitag Abend!

Wenn man die Seite http://www.wikipedia.de im Moment aufruft, kommt einem diese Nachricht entgegen:

Lutz Heilmann (die LINKE): Wikipedia.de Gesperrt

Tja, mir kommt das so vor als wäre die ganze Ich-Zensiere-Mal-Schnell-Das-Internet Sache so ziemlich in die Hose gegangen. Ich werde dementsprechend auch nicht mal drüber nachdenken, diesen Haufen zu wählen. Und Ich kann mir irgendwie ausmalen, dass dies für einige andere internetaffine Menschen auch so sein wird.

Wer interesse hat kann ja hier mal reinschauen, ist teilweise echt interessant bzw. schockierend.