Nachdem in der letzten Woche eine schwer wiegende Sicherheitslücke im System von eBay bekannt geworden war, hat sich das Auktionshaus nunmehr entschlossen, etliche JavaScript- und HTML-Funktionen auf den Angebotsseiten seiner Kunden zu verbieten. Ein Hannoveraner Computerspezialist hatte nämlich herausgefunden, dass sich eBay-Kundendaten relativ leicht durch ein JavaScript ausspähen lassen, das in den Quelltext einer Angebotsseite geschleust und vom Betrachter dieser Seite automatisch heruntergeladen wird. Besonders rasch hat eBay nicht gehandelt. Denn die Existenz einer Sicherheitslücke war dem Auktionshaus seit gut einem Jahr bekannt.
Computerspezialist deckt Sicherheitslücke auf
Bereits vor gut einem Jahr wies ein Computerspezialist aus Hannover das Internetauktionshaus eBay auf eine schwer wiegende Sicherheitslücke hin. Für die genauen Details verlangte er Geld. eBay war nicht bereit zu zahlen, sodass die Verhandlungen mit dem Computerfreak aus Hannover scheiterten. Ohne dessen Hilfe waren die Sicherheitsspezialisten von eBay offenbar nicht in der Lage, die Sicherheitslücke im eBay-System ausfindig zu machen. Erst nachdem sich die Presse des Themas angenommen hatte, sah man sich bei eBay endlich zum Handeln gezwungen. Ob die Verhandlungen mit dem Spezialisten aus Hannover wieder aufgenommen wurden und zu welchem Ergebnis sie führten, ist derzeit (noch) nicht bekannt. Bekannt gegeben hat eBay lediglich, dass gewisse JavaScript- und HTML-Funktionen auf den Angebotsseiten des Auktionshauses zukünftig verboten sind.
„Liebe eBay-Mitglieder“
In einem offenen Brief an die „lieben eBay-Mitglieder“ mit der Überschrift „Überarbeiteter Grundsatz zur Verwendung von Skriptsprachen beim Anbieten von Artikeln“ stellt das Auktionshaus klar, dass die Verwendung von JavaScripts auf den Angebotsseiten künftig strenger gehandhabt und von eBay überwacht werde. Grundsätzlich verboten sind demnach u. a. Skript- und HTML-Funktionen, die Cookies setzen oder auslesen, die eBay-Nutzer zu anderen Webangeboten weiterleiten, die externe Skripte oder Seiten per Includes oder iFrames einbinden oder PopUps aufrufen. Künftig ebenfalls verboten sind „Skripte, mit denen Einträge in der Registry geändert werden oder Skripte, die auf eine andere Art Daten auf die Festplatte des Benutzers schreiben“. Dasselbe gilt für Skripte, „über die automatisch Daten an andere Skripte von eBay gesendet werden“. Auch darf der Quellcode einer Angebotsseite nicht mehr verschleiert werden. Des Weiteren soll der automatische Download von aktiven Inhalten „von anderen Computern“ unterbunden werden. Flashfilme sind von diesem Verbot ausgenommen.
Funktionalität bei eBay durch Skripte beeinträchtigt
Einen Hinweis auf die fragliche Sicherheitslücke sucht man in der eBay-Mitteilung vergeblich. Die verschärften Vorschriften werden vielmehr damit begründet, dass die Verwendung der genannten Skript- und HTML-Funktionen die „Funktionalität von eBay“ beeinträchtige. Man habe sich deshalb entschlossen, Angebote, die gegen die neuen Grundsätze verstoßen, aus dem Angebotskatalog von eBay zu entfernen. Dies geschehe, „um den allgemeinen Sicherheitsbedürfnissen Rechnung zu tragen“.
Passwortsicherheit wird verbessert
Auch bei der Wahl des richtigen Passwortes möchte eBay seinen Kunden künftig mit Rat und Tat zur Seite stehen. Wer sich neu anmeldet oder sein bisheriges Passwort ändert, durchläuft neuerdings eine Sicherheitsbewertung, die dem eBay-Kunden per dreistufigem Balken anzeigt, wie sicher sein gewähltes Passwort ist. eBay rät zu Passwörtern, die aus einer Kombination von Zahlen und Buchstaben bestehen. Der eigene Name und das Geburtsdatum sollten keinesfalls verwendet werden. Der Mitgliedsname kann künftig nicht mehr als Passwort genutzt werden. In diesem Fall meldet eBay ein „ungültiges Passwort“.
Zurück zur News-Übersicht
