50cent März 14, 2008 Für die Postbank-Kunden interessant: http://www.swr3.de/-/id=371506/qwlqyq/index.html Wer möchte schon gerne seine Kontobewegungen offenbaren? Diesen Beitrag teilen Link zum Beitrag
et3rn1ty März 14, 2008 Wer URLs mit Session-ID verschickt hat es nicht anders verdient. Diesen Beitrag teilen Link zum Beitrag
BarGain März 14, 2008 Wer URLs mit Session-ID verschickt hat es nicht anders verdient. wer sessionIDs nicht an IP-adressen, timeframes und useragents koppelt, hat das programmieren von webapplikationen nicht gelernt, geschweige denn verstanden. Diesen Beitrag teilen Link zum Beitrag
et3rn1ty März 14, 2008 Das ist die andere Sache, BarGain. Aber in unserer Kostenlos-Gesellschaft kann HBCI nicht an den Mann gebracht werden. Diesen Beitrag teilen Link zum Beitrag
BarGain März 14, 2008 egal.... es ist einfach ein unverzeihlicher anfängerfehler, sessions nicht an ein eindeutiges indentifikationsmerkmal zu binden. schon die einsteigerkapitel mir bekannter ASP(.net)-, JAVA- und PHP-einsteigerbibeln in sachen web-apps mit benutzerauthentifizierung erklären eindeutig die notwendigen zusammenhänge. daß immer wieder durchaus unternehmenskritische webbasierte dienste großer unternehmen an dieser kinderkrankheit leiden ist einfach ein armutszeugnis ohnegleichen. jeder schei** praktikant mit auch nur einem HAUCH gesundem menschenverstand kommt von alleine auf die idee, die session wenigstens an die IP, besser noch an zusätzliche merkmale zu koppeln, die bei jedem request erneut geprüft werden. Diesen Beitrag teilen Link zum Beitrag
35sebastian März 14, 2008 Ich bin schon lange Postbankkunde und tätige all meine Bankdienste online. Mir ist bisher noch nichts Merkwürdiges passiert, weiß auch von keinem Fall bei der Postbank, dass Geld umgeleitet wurde. Was die technischen Vorgänge betrifft, bin ich auch absolut Anfänger. So kommt mir Bargain Beitrag "spanisch" vor. Also, auf gut deutsch, sollte man keine Quittungen, natürlich ohne tan, verschicken. Diesen Beitrag teilen Link zum Beitrag
50cent März 14, 2008 Das ist die andere Sache, BarGain. Aber in unserer Kostenlos-Gesellschaft kann HBCI nicht an den Mann gebracht werden. Mir wäre es das mehr an Sicherheit wert. Leider bieten dies nicht alle Banken an. Diesen Beitrag teilen Link zum Beitrag
sparfux März 15, 2008 Aus dem Artikel: Die Vergangenheit zeigt, dass die Postbank immer zu den Innovationsträgern gehörte, was Online-Sicherheit angeht. Lange werden wir mit der Tücke im System nicht leben müssen. Das kann ich als langjähriger Postbankkunde eigentlich bestätigen. Die Postbank war z.B. eine der ersten Banken, die die iTAN eingeführt haben. Bzgl. Online-Sicherheit denke ich, ist man da nicht so schlecht aufgehoben. Diese Schwäche werden die sicher auch schnell fixen. Diesen Beitrag teilen Link zum Beitrag
Delphin März 15, 2008 wer sessionIDs nicht an IP-adressen, timeframes und useragents koppelt, hat das programmieren von webapplikationen nicht gelernt, geschweige denn verstanden. Und mal wieder muss ich Bargeain 100% zustimmen. Wenn eine Bank so etwas in sicherheitsrelevanten Bereichen ihrer Internetseite nicht beherzigt, gehört ihr meiner Ansicht nach auf der Stelle die Lizenz entzogen - wie soll ich jemandem mein Geld anvertrauen, der solch vergleichsweise einfachen Sachverhalte nicht begreift. (Meiner bescheidene Meinung nach, scheint aber die Erstellkung einer vernünftigen und funktionellen Internetseite heute ohnehin immer noch reine Glückssache zu sein. Das ist schade, bestätigt mich aber in meiner Aufassung, dass wir uns eben in einem sehr frühen Stadium der Informatik befinden. Der Fehler besteht aber eigentlich eher bei den Anwendern und den Firmen, die diese Technologien ständig überschätzen und nutzen bevor sie ausgereift sind.) (Wenn ich mal ein eine zynische Nebembemerkung einwerfen darf: das ist wie bei der Atomkraft, eine sehr interessante Technologie, nur hat man für den dabei anfallenden Abfall keine vernünftige Lösung gefunden - natürlich hat man diese unfertige Technik dann trotzdem eingesetzt... Das ist der Fluch der Innovation, ausgereifte Dinge sind eigentlich schon uninteressant, denn es werden nicht die besten Lösungen gesucht, sondern die die gerade gut genug sind, und das ist leider oft wirtschaftlich motoviert. Hier ist also Wirtschaftlichkeit auch ein Fluch... - sorry off-topic, aber es sind einfach immer wieder dieselben Muster. ) Diesen Beitrag teilen Link zum Beitrag
xolgo März 16, 2008 wer sessionIDs nicht an IP-adressen, timeframes und useragents koppelt, hat das programmieren von webapplikationen nicht gelernt, geschweige denn verstanden. Sessions an IPs zu koppeln ist Unfug, da verschiedene Provider (und auch Firmen) ihre Kunden hinter Proxyfarmen stecken. Und selbstverständlich endet die Session auch bei der Postbank automatisch nach Inaktivität. Diesen Beitrag teilen Link zum Beitrag
BarGain März 17, 2008 Sessions an IPs zu koppeln ist Unfug, da verschiedene Provider (und auch Firmen) ihre Kunden hinter Proxyfarmen stecken. Und selbstverständlich endet die Session auch bei der Postbank automatisch nach Inaktivität. viele proxys verraten auf anfrage trotzdem die richtige ip, und es gibt auch in NAT-netzen weitere möglichkeiten, ein eundeutiges identifikationsmerkmal zu finden. man muss sich nur ein bisschen mit http und tcp/ip auskennen... Diesen Beitrag teilen Link zum Beitrag
DerFugger März 18, 2008 und es gibt auch in NAT-netzen weitere möglichkeiten, ein eundeutiges identifikationsmerkmal zu finden. man muss sich nur ein bisschen mit http und tcp/ip auskennen... Stimmt. In der c't 19/05 S. 216f. wird auch beschrieben, wie das technisch funktioniert. Die Grundlage liefern aktuelle Implementierungen des TCP/IP-Stacks mit der TCP-Option Timestamp. Einleitend steht dort : Aktuelle Forschungserkenntnisse zeigen eine erstaunliche Möglichkeit, einzelne Rechner zu identifizieren: Weil bei genauer Betrachtung keine zwei Rechner völlig identisch sind es gibt selbst unter baugleichen Geräten fertigungsbedingte, minimale Unterschiede , kennzeichnet jeden Rechner eine individuelle Abweichungvon der echten Zeit. Und dieses Merkmal lässt sich unbemerkt aus der Ferne auslesen. Und im technischen Detail sieht das dann so aus : ....Windows 2000 und XP verhalten sich etwas anders als andere Betriebssysteme. Wenn sie selbst eine Verbindung initiieren, etwa einen Web-Server ansprechen, senden sie in der Grundeinstellung keinen TCP-Timestamp. Daher lassen sich PCs mit solchen Betriebssystemen zunächst nicht taxieren. Es ist jedoch sehr einfach möglich, beide Systeme zu einer Übertragung zu überreden. Der angesprochene Server muss lediglich entgegen der RFC-Empfehlung SYN-ACK-Pakete mit Timestamps zurücksenden. Fortan verstoßen auch PCs mit Windows 2000 und XP gegen die RFC und blenden ebenfalls ihre Timestamps ein. Der Trick funktioniert auch dann, wenn die Windows-Clients hinter einem Router in einem NAT-System installiert sind. Diesen Beitrag teilen Link zum Beitrag
