Habe erstmals (privat) über einen Shop bei rakuten.de etwas bestellt.

Die Abwicklung gefällt mir zwar sehr gut. Nun bekomme ich eine mail mit einem Link auf die Bestellung. Der Link ist so aufgebaut:

http://www.rakuten.de/kundenkonto/bestellung/<32stellige Hexadezimalzahl>

Und damit kann ich meine persönlichen Daten (Name, Adresse, bestellte Artikel, Zahlungsweise) ÖFFENTLICH einsehen, ohne mich einloggen zu müssen.

Und nein, es sind keine Cookies auf meinem Rechner, die mich automatisch identifizieren. Ich habe das auf 3 anderen Rechnern getestet, auf denen ich vorher noch niemals auf rakuten.de war.


Auch wenn durch simples Ausprobieren der Hexazahl in der URL wohl eher kein echter Treffer erzielt werden kann, hätten diverse Crawler und Spionageprogramme damit keine Probleme.

Werde mal bei Rakuten um Stellungnahme bitten, was sich die dabei denken!

_________________
Solange es hell ist, kann die Sonne scheinen
(Wetterprognose auf "Bayern 5" vom 5. Februar 2013)

Eine 32-stellige Hexazahl ist aber quasi das selbe wie einloggen.

Sofern es beim einloggen keine Sperre nach dem x-ten Fehlversuch gibt, kann ein Automat bei einem Login aber auch solange herumprobieren bis Login und Passwort zufällig mal passen. Genauso wenn die Kennung - wie hier - in der URL untergebracht ist.

Andere Anbieter (z.B. Afterbuy) machen das übrigens genauso.

Schonmal nachgerechnet wieviele mögliche Kombinationen es hier gibt bis man durch Zufall auch nur einen einzigen (nur sehr mäßig intimen) Datensatz sieht?
Da gibt's weit größere Attraktionen auf der Welt ...

http://de.wikipedia.org/wiki/Universall ... rsion_4.29

2^122 entspricht ca. 5,3169 * 10^36

_________________
Webs - Online Shop und Webs / ECB Support (forum.webs.de),
mein Bastelshop: basteln-selbermachen.de
Was soll die Plus - Mitgliedschaft hier im Forum?

32 x 4 Bit = 128 Bit.
Ist also genauso easy zu knacken wie eine 128-bit-Verschlüsselung. Oder sehe ich da was falsch?

Sowas kannman natürlich locker als öffentlich bezeichnen.

Schreib's aus: 5316900000000000000000000000000000000
Kernig einfach

nun, ganz so treffend ist der Vergleich mit 128bit Verschlüsselung nicht, wenn auch eine gewisse Ähnlichkeit besteht.

Es geht ja nicht darum, mit dieser hexazahl genau MEIN konto abzugreifen, sondern IRGENDWELCHE Kundendaten.

Natürlich wird es schwer für den Hacker, genau mein Konto zu finden, aber womöglich greift er vorher 50.000 andere Konten ab.

Da es keine wirklich sicherheitsrelevante Daten sind (keine Bankdaten, Kreditkartendaten etc) ist es nicht wirklich für SAT1 oder RTL interessant. ABer immerhin sind es personenbezogene Daten, die öffentlich zugänglich herumliegen.

Ichbin in dieser Hinsicht vielleicht ein bisschen übersensibel. Trotzdem denke ich, dass dies datenschutzrechtlich nicht wirklich in Ordnung ist.

Wenn man von 100.000 gültigen GUIDs ausgeht, dann wären das immer noch eine Chance von 1 zu 5 * 10^31 ...

Aber grundsätzlich stimme ich Dir zu, dass man solche Daten besser mit Passwort schützt ...

_________________
Webs - Online Shop und Webs / ECB Support (forum.webs.de),
mein Bastelshop: basteln-selbermachen.de
Was soll die Plus - Mitgliedschaft hier im Forum?

Nur wo ist der Unterschied?

Solange man - wie bei vielen Seiten üblich - das Login/Passwort unendlich oft ausprobieren kann, ist es doch genauso leicht/schwer zu erraten wie dieser Code in der URL (jetzt mal abgesehen durch Unterschiede in der Passwortlänge die dann eben ein paar weniger/mehr Möglichkeiten möglich machen).

Ich sehe den grossen Unterschied nicht... ob ich nun bestellung.php?user=14374&pw=1928337 aufrufe oder bestellung.php?id=143741928337 aendert eigentlich nichts an der Sicherheit der Daten.

Ãœber so etwas muss man glaube ich nicht reden, oder?


Nicht ganz. In dem Fall muss ich 1. "per Zufall" eine gültige E-Mailadresse (wenn man die als ID nimmt) eines Kunden treffen und dann 2. noch sein Passwort herausbekommen ...
In dem Fall der GUID benötige ich keine Informationen eines Kunden.

Wobei man bei Login Dialogen auch eine Sperre nach x - Versuchen einbauen kann.

Ciao,
Mike

_________________
Webs - Online Shop und Webs / ECB Support (forum.webs.de),
mein Bastelshop: basteln-selbermachen.de
Was soll die Plus - Mitgliedschaft hier im Forum?

Ich wuerde es so nicht machen. Ich kenne aber mehrere Anbieter die mit der Methode arbeiten um direkte Links auf Rechnungen und Bestellscheine per Mail zu verschicken. Mir ging es nur darum, dass ein laengerer Wert nicht automatisch unsicherer ist als zwei getrennte kuerzere Werte.





Richtig, Du musst aber die korrekte ID kennen. Ich haette mit der Variante mit der langen Hex.-ID, die Rakuten nutzt, kein grosses Problem solange das Skript nach 3 oder 5 falschen Versuchen die IP sperrt.

(EDIT): Nur um es nochmal deutlich zu sagen. Es geht mir nicht um den Kundenlogin. Es geht nur um den Zugriff auf eine einzelne Rechnung/Bestellbestaetigung fuer die eine eigene ZugriffsID oder DokumentID/Passwort Kombination erzeugt wird. Fuer einen kompletten Kundenlogin sind beide Varianten sicherheitstechnisch problematisch.



Gruesse

Dirk

Ist doch eigentlich weitgehend egal ob es sich um eine Mailadresse oder sonstwas handelt. Denn ein Roboter müsste sowieso alles mögliche durchprobieren.

Variante 1 (klassisch):
ABFRAGE 1: ichbineinlogin
ABFRAGE 2: ichbineinpasswort

Variante 2 (der 34-stellige Code):
ABFRAGE: ichbineinloginundeinpasswortxxxxxxx

Man kann jetzt freilich diskutieren ob durch die variablen Längen von Variante 1 oder durch die insgesamt in der Regel größere Zeichenanzahl (denn Login und Passwort haben in der Regel deutlich unter 34 Zeichen) in Variante 2 ein größerer Schutz gegeben ist.

Aber da ist dann bloß die Frage ob man Zillionen oder Zilliarden Versuche braucht um einen Treffer zu erhalten.

Das ist doch der entscheidende Punkt.

Und eine gute Hashfunktion (oder besser gesagt eine für diesen Zweck entwickelte Crypto-Funktion) zu nehmen, die den Werteraum wirklich gut abdeckt.

Dann kann ja auch noch weitere Massnahmen treffen:

- Die Gültigkeit des Links auf 24h begrenzen, danach PW abfragen
- Live-Zugriffsanalyse. Ab dem 3. Versuche einer IP kann man ja doch mal nach dem PW fragen...
- Geografische Analyse: Kommt der Zugriff aus der gleichen Region oder aus China?
- Systemumgebung / Browser / Provider / ... auswerten (Fingerprinting)

Das dies keine theoretischen Möglichkeiten sind, kann man selbst leicht ausprobieren (bitte nicht probieren....). Ich habe vor Jahren aus Versehen mal versucht, mich per JANON-Proxy auf Paypal einzuloggen.... Dieser Versuch hat mir drei Wochen Papierkrieg mit denen eingebracht, bis ich für die wieder sicher ich war.

_________________
www.campaign2.de : Gestalten Sie wirksame, kostengünstige und unterhaltsame Werbekampagnen ab sofort selbst.

Ob das Ganze "knackbar" ist oder nicht, entscheidet nicht die Länge des Keys,
sondern die Leistung des Servers. Von der Seite des Angreifers sind solche Dinge
überhaupt kein Problem, solange - wie erwähnt - der Server das Ganze mitmacht.

_________________

- Service, Template/Design & SEO (sämtliche Systeme)
- Offizieller Gambio Partner (Design, Sicherheit & Mehr)
- Sicherheitsüberprüfungen für Internetportale
.:[ Angebot anfordern ]:.

Session-IDs bestehen in der Regel auch "nur" aus einer 32-stelligen zufälligen Zahlen/Buchstaben Kombination.

_________________
Webs - Online Shop, Webs / ECB - Shop Support Forum

Knackbar ist ein Thema. Aber ein 'einfacher' Link kann im Gegensatz zu zwei Textfeldern mal bei Google auftauchen. https://www.google.de/search?q=%22http://www.rakuten.de/kundenkonto/bestellung/%22&hl=de

_________________
Töginger Fasan in Blätterteig mit Weinlauch - nur 24,95 Euro je Portion*

* Preis zzgl. Fasankosten

@hkhk: was sagen denn die META-Angaben der Seite ("noindex")?

_________________
Webs - Online Shop, Webs / ECB - Shop Support Forum

Man kann auch user/pw in einer öffentlichen Zwischenablage ablegen.

_________________
Funktion + Design im Mallux-Shop
Afterbuy Tools (Etikettendruck, Reporting, Vorlagen)
Programmierung mit HTML, CSS, JavaScript, PHP

Kostenloses Konto bei Netbank oder DAB: PN oder Mail an info@xtsell.de

<meta name="robots" content="noindex,follow" />


habe mal gerade spaßeshalber (natürlich erfolglos) ca 20 kombinationen ausprobiert.
gesperrt wurde meine IP nicht.

naja, so wirklich begehrlich sind diese daten ja nicht...

_________________
Solange es hell ist, kann die Sonne scheinen
(Wetterprognose auf "Bayern 5" vom 5. Februar 2013)

Liebe Diskussions-Teilnehmer,

wie die meisten Kommentatoren des Eintrags zu Recht erläutern, ist die Vorgehensweise, eine 32-stellige Hexalzahl zur Identifikation zu verwenden, hinreichend sicher (v.a. im Hinblick auf die wenigen Daten, die damit zugänglich sind). Diese Vorgehensweise findet auch bei vielen anderen Anwendungsfällen und Anbietern Verwendung.

Um es nochmal deutlich zu sagen: Die Kundendaten werden durch diesen Link NICHT öffentlich gemacht, sondern sind nur für den Kunden selbst einsehbar. Damit ist der Titel des Foreneintrags schlichtweg falsch und irreführend.

Dennoch haben wir den Anspruch, höchste Sicherheits-Standards im Online-Handel zu erfüllen, daher arbeiten wir zurzeit an einer weiteren Modifizierung des Login-Verfahrens: In wenigen Tagen wird ein neues Sicherheitssystem online gehen, das das geschilderte Durchprobieren von Secure-Keys verhindert.

Sie merken: Ihre Daten sind bei Rakuten in guten Händen und wir tun alles, um unseren Service im Sinne der Kundenzufriedenheit stetig weiter zu optimieren. Wir hoffen, dass wir Ihre Bedenken zerstreuen konnten und stehen für weitere Fragen natürlich gerne zur Verfügung!

_________________
Freundliche Grüße,

Ihr Rakuten Team


Rakuten Deutschland GmbH
Geisfelder Str. 16
96050 Bamberg
www.rakuten.de

Ich bin gespannt... Und Rakuten weiß warum.

_________________

- Service, Template/Design & SEO (sämtliche Systeme)
- Offizieller Gambio Partner (Design, Sicherheit & Mehr)
- Sicherheitsüberprüfungen für Internetportale
.:[ Angebot anfordern ]:.