Was bedeutet „Hacker Safe“?

25Jan08

Angefangen hat es damit, dass die Onlineshopseite geeks.com Anfang 2008 die Kunden informiert hat, dass Zahlungsdaten Anfang Dezember 2007 kompromittiert wurden. Dies bedeutet, dass die Möglichkeit besteht, dass unautorisierte Personen im Besitz von Namen, Geburtsdaten und Kreditkarteninfos der Kunden von geeks.com sind.

Das Spezielle daran ist, dass die Webseite von geeks.com an diesem Tag als „Hacker Safe“ eingestuft wurde – einer Dienstleistung von scanalert.com. ScanAlert prüft Webseiten ihrer Kunden täglich auf Sicherheitslücken – doch wie konnte die Webseite trotzdem gehackt werden? Offenbar war eine XSS (Cross Site Scripting) Lücke dafür verantwort-lich. ScanAlert jedoch distanziert sich von XSS Lücken – damit könne man keine Websei-te hacken:

“Joseph Pierini, director of enterprise services for the ScanAlert „Hacker Safe“ program, maintains that XSS vulnerabilities can’t be used to hack a server.” (Link)

Interessante Ansicht – noch interessanter wenn man die Analyse von XSSed.com betrachtet, welche 62 weitere „Hacker Safe“ Webseiten mit einer XSS Lücke auflistet.

Für Onlineshops welche Kreditkartenzahlungen durchführen ist die PCI Compliance Pflicht – unter diesem Label wird schliesslich das „Hacker Safe“ Label auch vertrieben. Unabhängig davon, dass die Dienstleistung von ScanAlert nicht viel kostet, der Webseitenbetreiber verlässt sich auf das Label. Hacker Safe ist Hacker Safe – auch wenn der Hack via XSS im Browser durchgeführt wird – meine Kreditkarte ist trotzdem kompromittiert. Die erkennung einer XSS Lücke ist schliesslich kein Kunststück – das „programmieren“ einer Webseite jedoch anscheinend schon – ich sage dazu nur: Rapid Application Development😉



No Responses Yet to “Was bedeutet „Hacker Safe“?”

  1. Schreibe einen Kommentar

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s


%d Bloggern gefällt das: