16.06.2010 yahe legacy security thoughts update
Heute geht es einmal um den Werbevermittlungsdienst "Trigami", in deren Nutzereinstellungsseiten sich mehrere "CSRF"-Lücken (Cross-Site Request Forgery) befinden. Das Problem ist hier vor allem, dass Trigami inaktive Nutzer nicht automatisch ausloggt. So ist die Wahrscheinlichkeit hoch, dass Trigami-Nutzer unbedarft in die Falle laufen könnten.
04.06.2010 yahe code legacy security thoughts update
Gestern habe ich darüber berichtet, dass ich mir nun auch einen der Beta-Accounts der neuen Micropayment-Plattform Flattr geholt habe. Am Ende des Artikels hatte ich eine mögliche Angriffsfläche erwähnt, die auch schon bei Twitter ausgenutzt worden ist. Wie ich nun durch eigene Tests herausgefunden habe, ist es tatsächlich möglich, Besucher einer Seite dazu zu bringen, völlig unbekannte Seiten zu flattrn.
03.06.2010 yahe legacy security thoughts
Flattr ist ein sogenannter Micropayment-Dienst. Er ist dafür da, Kleinstbeträge von einem Kunden zu einem Anbieter zu transferieren. Interessant an dem Konzept von Flattr ist der Grund, warum man das Geld transferiert und die Art, wie die Höhe der Bezahlung bestimmt wird. Der Grund für die Bezahlung ist bei Flattr nicht der Zugang zu Inhalten. Der Inhalt ist für jeden Besucher verfügbar, auch für Leute, die ihn nicht bezahlen.