eBay und die Sicherheitslücken

Nike · **Verfasst:** 25.03.2008 13:17

Heute: das eBay-XSS-Flash-Exploit

Gefunden, ausführlich dokumentiert und seit fast einem Jahr an ebay gemeldet: http://www.falle-internet.de/de/html/pr_exme.php

Zitat:

Durch das Einbinden einer Flash-Animation in eine Artikelbeschreibung kann über so genanntes Cross-Site-Scripting (XSS) Einblick in alle Daten genommen werden, die nur dem Inhaber des Mitgliedskontos in „Mein eBay“ ausdrücklich vorbehalten sein sollten.

eBays Reaktion ist keineswegs neu (siehe z.B. hier ), eine wirkliche Gefährdung wird erstmal abgestritten, die Beseitungung der Lücke lässt noch immer auf sich warten. Dafür wurde in einer eMail an Falle-Internet.de mit dem Hinweis auf das Deutsche Recht und den Hackerparagraphen beinahe schon so etwas wie gedroht.

Solange eBay hier nicht reagiert, sollten Benutzer auf Flash und JavaScript bei eBay-Seiten verzichten.