Manipulierbare Artikelbeschreibungen bei eBay
eBays Artikelbeschreibungen sind trotz gelegentlicher Bemühungen nach wie vor manipulierbar und daher ein ernstes Sicherheitsrisiko.
Dass das so ist, wird in dieser Auktion auf harmlose Weise eindrucksvoll demonstriert: Dort führt ein Klick auf eine beliebige Stelle im linken Bildschirmbereich nicht etwa zu den angegebenen eBay-Funktionen, sondern zu der Website http://geolgautz.com/frage.html. Diese überraschende Verlinkung ist in dem Fall harmlos - aber mit der selben Technik könnte auch weit Schlimmeres erreicht werden: Der Link könnte zu einer Phishing-Seite führen. Eine solche Phishing-Site könnte einer eBay-Seite zum Einloggen täuschend ähnlich sehen und so die nichtsahnenden Nutzer verleitet werden, den Betrügern dort ihr Passwort preiszugeben.
Zwar muss man bei eBay seit einiger Zeit diverse Kriterien erfüllen, um aktive Inhalte bzw. Skripte in Artikelbeschreibungen einzufügen. Diese Manipulation ist aber einfacher gestrickt und beruht eben nicht auf z.B. JavaScript, sondern auf bei eBay grundsätzlich erlaubten Techniken.
Update: Bei eBay hat man erwartungsgemäß meinen Artikel gelesen und die betreffende Auktion gelöscht - zusammen mit etwa 50 anderen, die nach dem gleichen Muster arbeiteten. Hier können Sie sich ansehen, wie das Angebot aussah.
|
