Erneut Sicherheitsloch bei Web.de

Zeitlich Unbegrenzter Einblick ins Mailfile für Admins möglich / Freemailer: "User sollten SSL benutzen"

Erneut ist bei Web.de (Börse Frankfurt: WE2) ein Sicherheitsloch aufgetaucht. Systemadministratoren ist es möglich, anhand der Logfiles der Firewall in das Postfach jedes Web.de-Users der eigenen Firma zu gelangen.

„Ich habe es wiederholt ausprobiert und war auch im Account meines Chefs

Themenseiten: Telekommunikation

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Erneut Sicherheitsloch bei Web.de

Kommentar hinzufügen
  • Am 27. August 2001 um 10:47 von JJ

    Wunder-URL?
    Was soll das für eine "magische" URL sein? Da ich sowohl GMX- als auch web.de -User bin, habe ich das Spielchen heute morgen selbst durchgespielt. Bei web.de war nach einigen Minuten der Laden dicht (Timeout), während ich mich bei GMX noch jetzt -mehr als zwei Stunden später- mit der alten URL einloggen kann.

  • Am 27. August 2001 um 9:48 von Martin Fiutak, Team ZDNet

    Wer lesen kann…
    …ist klar im Vorteil.

    In meinem Bericht heißt es, dass wir über eine solche URL verfügen, mit der das Login ohne Timeout möglich ist. Dieser Login funktioniert auch heute, drei Tage nach Entdeckung des Lochs, nach wie vor – und zwar unabhängig vom Timeout, das Web.de gesetzt hat.

    Nichts für ungut…

    Martin Fiutak

    Team ZDNet

  • Am 27. August 2001 um 9:03 von JJ

    Schwachsinn
    Erstens existiert dieses Problem _SEHR WOHL_ auch bei GMX und zweitens hat web.de _SEHR WOHL_ einen Timeout gesetzt, der sogar niedriger ist als bei GMX. Selbst wenn man die web.de Seite in angemeldetem Zustand geöffnet läßt, ist es nach wenigen Minuten nicht mehr möglich, eine Mail zu verschicken, ohne sich zuvor neu anzumelden. Ich frage mich was derartige Meldungen sollen. Es sollte nicht allzu schwierig sein, den Wahrheitsgehalt solcher Behauptungen zu überprüfen. Im übrigen sollte klar sein, daß Administratoren prinzipiell so ziemlich alles mitlesen können, es sei denn, man verwendet firmenweites VPN oder für diesen Fall einen Proxy mit Verschlüsselung (z.B. safeweb.com oder the-cloak.com. Was die mit den Daten machen ist dann natürlich wieder eine andere Frage ;-) ).

  • Am 25. August 2001 um 12:08 von Marcus

    log out?
    Was mich interessieren würde: Hat sich der User auch ordnungsgemäß ausgeloggt? Für mich klingt das nämlich ganz danach, daß das nicht passiert ist. Wenn ich mich auslogge, kann ich nicht einmal mehr mit dem "zurück"-button zu meinen Mails zurückkehren, wie soll das dann ein anderer können???

  • Am 24. August 2001 um 21:25 von Mr.Death

    amateurhafter Fehler
    >Auf den Bug angesprochen versprach

    >Web.de gegenüber ZDNet, den

    >Sachverhalt zu prüfen. Kurz darauf

    >erklärte Web.de-Sprecherin Eva

    >Vennemann: "Grundsätzlich sind alle >http-Verbindungen im Internet in

    >igendeiner Art und Weise im Klartext

    >und somit lesbar. So ist das Internet

    >aufgebaut." Aus diesem Grund biete

    >Web.de schon seit Anfang an eine SSL

    >-Verbindung, bei der die TCP/IP-Pakete

    >verschlüsselt und nicht ausspähbar

    >über das Internet übertragen werden.

    Mag zwar sein, dass per SSL-Verschlüßelung die Daten so gut wie nicht mehr lesbar für Dritte sind, doch dies hilft noch lang nicht gegen diesen amateuhaften Bug, die sich die Entwickler von web.de bei der Erstellung der Software für das online-lesen von narichten geleistet haben.

    1. Fehler: In dem link der durch das Login-Script erstellten Seiten darf niemals der Benutzername oder das passwort auftauchen.

    Man könnte den Link (zu den "geheimen Seiten") mit Hilfe eines Zufallgenerators (den es in jeder Programmiersprache gibt) erstellen lassen, dadurch würde bei jedem Login der Link variieren …

    2. Fehler: Nach Beendigung der Sitzung werden die "geheimen Seiten" nicht automatisch gelöscht.

    Entweder macht man einen simplen javascript, der ein Programm startet, dass diese geheimen Seiten beim verlassen automatisch löscht oder man lässt einen selbstprogrammierten Daemon oder ähnliches auf dem System laufen, dass die Sessions nach x Minuten (Stunden oder Tage) automatisch löscht.

    Wenn sogar ich (als derzeit Hobby-Programmierer) in der Lage bin, solch ein System zu entwickeln (was auch anständig funktioniert), dann dürften diese (gut bezahlten) Leute das doch auch sein …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *