eBay zu Sicherheit und Stern TV

eBay hat zu der für eBay peinlichen Berichterstattung zu den Sicherheitslücken Stellung bezogen:

Stellungnahme zu „Stern TV“ am 15. und 22. Dezember 2004

Stern TV hat in der Sendung vom 15. und 22. Dezember 2004 auf Missbrauchsmöglichkeiten im Zusammenhang mit der Verwendung von JavaScript-Funktionen hingewiesen. Dieses im gesamten Internet verbreitete Problem ist eBay bekannt. eBay hat angemessene Sicherheitsmassnahmen getroffen, um Angebote mit unzulässigem JavaScript zu identifizieren und zu entfernen.

Durch die in Stern TV beschriebene Problematik ist nach Kenntnis von eBay bisher keinem Mitglied ein materieller Schaden zugefügt worden. Außerdem war der Handel auf der eBay-Plattform zu keiner Zeit gefährdet. eBay rät seinen Nutzern generell, regelmäßig ihr eBay-Konto zu prüfen und auf Unregelmäßigkeiten zu achten. Im Zweifelsfall sollten sie sofort mit dem eBay-Kundenservice Kontakt aufnehmen.

eBay lässt bestimmte JavaScript-Darstellungen in den Angeboten seiner Mitglieder zu, um der eBay-Gemeinschaft ein Maximum an Funktionalität und Flexibilität bei der Beschreibung ihrer Artikelangebote zu ermöglichen. So ermöglichen JavaScripts Animationen, Sounds und interaktive Elemente bei der Produktbeschreibung. eBay verbietet jedoch die Verwendung von JavaScript-Funktionen, die Cookies setzen oder auslesen können, den Besucher von eBay zu einem anderen Internet-Angebot weiterleiten, die Funktion "JavaScript Include" enthalten oder „iframe“-Tags einsetzen. Bereits heute haben wir die Möglichkeit, unzulässige JavaScripts sehr schnell aufzufinden und von der Seite zu entfernen. Die unzulässige Nutzung von JavaScript-Darstellungen ist keine eBay-spezifische Problematik: Jeder Internet-Anbieter, der mit JavaScripts arbeitet, kann davon betroffen sein.

eBay empfiehlt seinen Mitgliedern, die eBay-Toolbar zu nutzen. Diese enthält einen Sicherheitscheck, der Mitglieder bereits heute aktiv vor betrügerischen Websites schützt. Hiermit können Nutzer anhand eines dreifarbigen Signalsystems erkennen, ob sie sich auf einer von eBay oder dem zu eBay gehörenden Online-Zahlungssystem PayPal verifizierten Website befinden; nur diese werden mit einer grünen Signalfarbe unterlegt. Befinden sich Nutzer hingegen auf rot markierten Seiten, rät eBay strikt davon ab, personenbezogene Daten wie Passwort oder Kreditkarteninformationen einzugeben. Hier handelt es sich um eindeutig identifizierte betrügerische Webseiten. Bei einem grauen Symbol sind die Seiten von eBay nicht eindeutig zuzuordnen und sollten mit Vorsicht behandelt werden. Bei der Eingabe des eBay-Passwortes auf eBay- und PayPal-fremden Websites warnt zudem ein in die Toolbar integrierter Passwortschutz die eBay-Nutzer vor der Eingabe.

Dazu kann ich teilweise wiederholen, was ich schon bei der letzten eBay-Stellungsnahme geschrieben habe:

eBays Sicherheitslücken sind schon sehr lange bekannt - und die können letztlich nur effektiv behoben werden, wenn in eBays Artikelbeschreibungen gar kein JavaScript mehr verwendet werden kann. Dann würden eBay-Verkäufer zwar auf Hintergrundmusik, Mausverfolger und den Bildschirm runterrieselnde Weihnachtsmänner verzichten müssen - aber viele Käufer würden das ohnehin als echte Wohltat empfinden. Es reicht absolut nicht aus, "bösen" Code per AGB zu verbieten - das interessiert potenzielle Betrüger natürlich nicht im geringsten. Derzeit feuert eBay juristisch aus allen Rohren, um die Berichterstattung zu den Sicherheitslücken zu erschweren oder zu verhindern. Ich finde, eBay sollte diese Energie lieber in die Beseitigung der Sicherheitslücken investieren...

eBays Toolbar ist datenschutzrechtlich bedenklich, denn eBay legt nirgendwo offen, welche Daten die an eBay übermittelt. Außerdem ist keineswegs sicher, dass sie wirklich vor Betrugsversuchen per JavaScript schützt: Es gibt glaubhafte Hinweise darauf, dass sich auch die eBay-Toolbar aushebeln lässt.

Axel Gronen
24.12.2004

Vorherige Meldung Vorherige Meldung

© 2004 bei Axel Gronen. Letzte Aktualisierung: 24.12.04.
Etwaige Rechtschreib- und Grammatikfehler in diesem Text sind gewollt und wurden hier mit Absicht versteckt. Wer sie findet, darf sie behalten oder auf eBay versteigern. Best viewed with open eyes and a human brain ver. 1.0 or above.

Wortfilter-Logo eBay