Thema: unzureichende Verschlüsselung der Login-Daten auf ebesucher
heromero
+13
23.11.2013 15:27
Hallo,
ich habe vor langer Zeit ein Tutorial über Man-in-the-middle Angriffe gesehen und da ebesucher.de außer bei der Anmeldung kein SSL verwendet dachte ich mir schaue ich ob auch innerhalb des Logins alles ok ist.
Ich fand jedoch einen mehrfachen groben Sicherheitsverstoß.
Punkt 1 ist, dass der Tresor nicht verschlüsselt ist, beim "Freigeben" kann das Passswort im Klartext mitgelesen werden,
Punkt 2 ist der ST-Schnittstellenpasswort-Bereich, hier kann man das aktuelle Password als auch das ST-Passwort im Klartext mitlesen; und der ST-Bereich ist nachdem was ich über die Verwendung von diesem weiß besonders sensibel. Sicher braucht man auch noch die UserID, wer aber eine Absicht hat diese zu bekommen wird wohl einen Weg finden.
Mein Rat an dieser Stelle wäre eine durchgehende SSL-Verschlüsselung einzusetzen statt einer selektiven (aber bitte kein RC4, was als geknackt gilt).
Ich muss auch darauf hinweisen, dass ich kein Krytoprofi bin.
Wenn das ebesucher Team Infos braucht kann ich eine PM schicken.
Als Tipp an alle nutzt das Addon: Https Everywhere (für Firefox+Chrome)
je mehr verschlüsselt wird, desto weniger können Böse oder Pseudo-Gute wie die NSA mitlesen, etwas Schutz ist besser als gar keiner.
MfG
Hallo,
ich habe vor langer Zeit ein Tutorial über Man-in-the-middle Angriffe gesehen und da ebesucher.de außer bei der Anmeldung kein SSL verwendet dachte ich mir schaue ich ob auch innerhalb des Logins alles ok ist.
Ich fand jedoch einen mehrfachen groben Sicherheitsverstoß.
Punkt 1 ist, dass der Tresor nicht verschlüsselt ist, beim "Freigeben" kann das Passswort im Klartext mitgelesen werden,
Punkt 2 ist der ST-Schnittstellenpasswort-Bereich, hier kann man das aktuelle Password als auch das ST-Passwort im Klartext mitlesen; und der ST-Bereich ist nachdem was ich über die Verwendung von diesem weiß besonders sensibel. Sicher braucht man auch noch die UserID, wer aber eine Absicht hat diese zu bekommen wird wohl einen Weg finden.
Mein Rat an dieser Stelle wäre eine durchgehende SSL-Verschlüsselung einzusetzen statt einer selektiven (aber bitte kein RC4, was als geknackt gilt).
Ich muss auch darauf hinweisen, dass ich kein Krytoprofi bin.
Wenn das ebesucher Team Infos braucht kann ich eine PM schicken.
Als Tipp an alle nutzt das Addon: Https Everywhere (für Firefox+Chrome)
je mehr verschlüsselt wird, desto weniger können Böse oder Pseudo-Gute wie die NSA mitlesen, etwas Schutz ist besser als gar keiner.
MfG
heromero
+13
09.04.2014 15:16
die Verschlüsselung ist immer noch löchrig;
Darüber hinaus ist auch die vor kurzem entdeckte OpenSSL-Lücke hier zu finden:
http://filippo.io/Heartbleed/#ebesucher.de - ebesucher.de IS VULNERABLE.
Infos zur Lücke:
http://www.heise.de/newsticker/meldung/SSL-Gau-So-testen-Sie-Programme-und-Online-Dienste-2165995.html
http://www.heise.de/newsticker/meldung/Heartbleed-SSL-GAU-Neue-Zertifikate-braucht-das-Land-2166639.html
https://www.youtube.com/watch?v=NmuRNAUwdK4 (SemperVideo-Erklärvideo)
EDIT: gerade nochmal die Heartbleed Lücke getestet: "All good, ebesucher.de seems fixed or unaffected! "
Danke fürs fixen
die Verschlüsselung ist immer noch löchrig;
Darüber hinaus ist auch die vor kurzem entdeckte OpenSSL-Lücke hier zu finden:
http://filippo.io/Heartbleed/#ebesucher.de - ebesucher.de IS VULNERABLE.
Infos zur Lücke:
http://www.heise.de/newsticker/meldung/SSL-Gau-So-testen-Sie-Programme-und-Online-Dienste-2165995.html
http://www.heise.de/newsticker/meldung/Heartbleed-SSL-GAU-Neue-Zertifikate-braucht-das-Land-2166639.html
https://www.youtube.com/watch?v=NmuRNAUwdK4 (SemperVideo-Erklärvideo)
EDIT: gerade nochmal die Heartbleed Lücke getestet: "All good, ebesucher.de seems fixed or unaffected! "
Danke fürs fixen