new kid on the blog seit 11-09-2008

La Triperie - Bruder Bernhard
steht ein für die Inneren Werte!!!

11. November 2008

Sicherheitsloch bei Blogstatistik-Anbietern

Meine Güte, jetzt ist mir aber der Schreck tüchtig in die Knochen gefahren! Wie damals, als ich die Liebesbriefe im Altpapier der grantigen Käsersfrau fand….

Wie ja jetzt in der BlaBlaBauer-Debatte blöderweise verraten wurde: Es gibt Blog-Statistiken. Es gibt auch Statistik-Tools, die mehr oder weniger kompliziert heruntergeladen, installiert, aktiviert und ausgewertet werden. Auch hier läuft eine, Statpress heisst diese. Diese genügt für meine Zwecke – z.B. zeigt sie mir, dass “Wie ein Meisterjournalist recherchiert” der drittmeistgelesene Artikel (darf ich das wohl so nennen?) ist, noch vor “Facts zeigt Kunden den Mittelfinger”. Aber (obwohl Frau Zappadong heute noch einen schönen zum alten Thema bringt) genug davon, heute fesselt uns ein neues Thema :

Vertrauensselige Blogger


Sonder Zahl sind all die Gratisangebote im Web, welche mir mehr Funktionalitäten für Blogs und sonstige Webseiten versprechen. Viele sind mit ca. 3 Klicks installiert und verwenden zum Teil eigene Server, wo der Dienst dann läuft. Und auf so einem Server war ich soeben, vor einer Viertelstunde. Und habe euch einiges mitgebracht, was nicht mir gehört: Die Kontoinformationen des Blog mspro! Was darf’s denn sein? Name und Vorname, E-Mail-Adresse? Alles da!!!

(Selbstverständlich habe ich alles entfernt, was nicht an die Öffentlichkeit gehört)
Soll ich Sie selber bei der Gelegenheit auch gleich als Admin-User eintragen? Oder das Passwort des jetzigen Admins ändern?
Bitte sehr, auch das würde gehen:

Wenn ich schon dabei bin, erhöhe ich doch gleich den “log size”, denn offenbar ist voll

Bruder Bernhard, der Hacker?
Nein, Bruder Bernhard der Klicker! Ich musste nur auf diese Zeile

in meiner Statistik klicken, und schon war ich als admin drin im Konto von mspro. Ob das wohl ein Werbegag von ihm ist?

Mein Coucousin, den ich natürlich sofort angerufen habe, meint: Nein, kein Werbegag. Der Server von Statcounter habe registriert, dass ich kurz vorher den Blog mspro gelesen hatte, danach hatte mspro auf den Link zur Triperie in seinem Serverprotokoll geklickt. Dies habe dazu geführt, dass nicht nur La Triperie aufgerufen wurde. Es sei die aktuelle Session-ID im ‘Referrer’ an die Triperie übertragen worden. Und da ich wohl kurz danach auf den Referrer, also den Link, geklickt hätte, sei der richtige Admin noch eingeloggt gewesen und so wäre ich reingekommen. Alles nur Zufall.

Zufall? Sicher. Ebenso sicher: Die Kundendaten werden unsicher gelagert. Ebenso sicher: Das wird nicht bloss dort der Fall sein. Absolut sicher: Niemand weiss, wer sich hinter solchen Internet-Gratisangeboten versteckt.Aber das ist dann wieder ein anderes Thema.

Abgelegt unter: Praxistest — Tags:, — Bruder Bernhard @ 12:43

7 Kommentare

  1. Kommentar von zappadong — 11. November 2008 @ 13:47

    Huch!

  2. Kommentar von mspro — 11. November 2008 @ 14:25

    Ach du Kacke. Das ist ja mal ne Sicherheitslücke. Danke fürs aufspüren. Statcounter ist eigentlich ein recht guter und angesehener Dienst. Sowas hätt ich nicht erwartet.
    Verdammt! Was mach ich jetzt? Doch zu Google Analytics?

  3. Kommentar von Bruder Bernhard — 11. November 2008 @ 15:30

    @mspro: ich würde an Statcounter mailen, sie sollen das Loch stopfen.

  4. Kommentar von Markus Merz — 11. November 2008 @ 16:34

    S.a. http://www.google.de/search?q=phpsessid+security oder in Deutsch http://www.google.de/search?q=phpsessid+Sicherheit

    Quasi Standardantwort: “There are always security implications with sessions and passing the session_id in the url is no different. If you haven’t read PHP http://php.net/ref.session Session Handling Functions yet, you should. Read all the links as well, including the paper on Session Fixation. These are must reads if you are going to use sessions with PHP. There you will also find alternatives to passing the session id in the url and reason for doing so.

  5. Kommentar von Ugugu — 11. November 2008 @ 17:55

    Prächtige Detektivarbeit nach Triperie-Art. Oder wie der Engländer zu sagen pflegt: «we stored your data in a safe place».

  6. Kommentar von Mara — 11. November 2008 @ 20:17

    Ich hab zwar noch nicht so recht kapiert warum das möglich war, ich werd wohl meine Tante fragen müssen, aber biste sicher, dass die nicht in ihren AGBs die Regelungen haben, dass die das dürfen?..:-)

  7. Kommentar von Bruder Bernhard — 12. November 2008 @ 08:22

    @MarkusMerz: mit anderen Worten: ein bekanntes Problem; ein Programmierer müsste das eigentlich kennen und schon von Anfang an vermeiden? Das wäre nicht nur peinlich, sondern alarmierend – wenn dieser Statcounter wirklich “ein angesehener Dienst” ist, wie @mspro hier schreibt?

RSS-Feed für Kommentare zu diesem Artikel.

Die Kommentarfunktion ist zur Zeit leider deaktiviert.

Wordpress Classic Theme, gespielt à la Bruder Bernhard's Nackthalshuhn
Abzeichnen vom Bildschirm bei Angabe der Quelle (url) ausdrücklich erlaubt!!!