Neue Sicherheitslücken bei eBay

Manfred Kohlen,
Sicherheit

Dem Magazin PC Professionell zufolge können Danach können Anbieter ihre Offerte in
eBay unbemerkt für die Bietenden ohne großen Aufwand ändern. Aus dem Superschnäppchen kann so leicht ein Reinfall, aus einem Scheckheft-gepflegten Jahreswagen könnte nach Auktionsende schnell eine Rostschüssel zum Ausschlachten werden.

Möglich wird das durch den Einsatz von HTML-Tags und Javascript, die den Artikelbeschreibungen eine individuelle Note geben. Einige dieser Befehle öffnen aber auch dem Missbrauch Tür und Tor. Mit dem IFRAME-Tag können beispielsweise Inhalte anderer Webseiten eingebunden werden – Fotos, zusätzliche Beschreibungen usw. Die befinden sich aber meist extern von der eBay-Domain und können von ihren Besitzern jederzeit und ohne Kontrolle durch eBay geändert werden.

Sicherheitslücke Nummer 2: Das Einbinden einer externen Grafik, die einen Beschreibungstext enthält, wird nicht explizit durch die eBay-AGBs ausgeschlossen. Diese Bilddatei mit einem Text wie Einwandfreie Funktion kann der Verkäufer nach Ablauf der Auktion gegen eine Grafik austauschen, auf der Defektes Gerät zu lesen ist. Nach Ende der Auktion erschweren diese Tricks die Beweisführung, wie die originale Artikelbeschreibung einmal ausgesehen hat.

eBay reagierte in einer ersten Stellungnahme zurückhaltend und will zunächst das Einbinden externer Inhalte nicht unterbinden, um die Attraktivität des eBay-Marktplatzes nicht zu gefährden. Allerdings wolle man, wo es machbar sei, Sicherheitsmaßnahmen einbauen. Scripte, die den eBay-Besucher zu anderen Internet-Seiten weiterleiten, seien ohnehin untersagt, genau wie auch “JavaScript”-Includes oder “iframe”-Tags. (rp)

Weitere Infos:

Wie Sie sich am besten schützen, finden Sie hier

Manfred Kohlen
Autor: Manfred Kohlen
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen