Fehler in der Portalsoftware

    • KeinOhrSchwein
      KeinOhrSchwein
      Bronze
      Dabei seit: 09.08.2012 Beiträge: 1.722
      Moin,

      bin heute auf der Arbeit mit meinem iPhone 4 auf die ps.de Hauptseite gegangen und war plötzlich erstaunt, als ich entdeckte, dass ich als mTw-DaviN angemeldet bin. Anscheinend ein Fehler in der Portalsoftware.
      Nutze Google Chrome als Browser auf dem iPhone.

      Bildbeweiß:
      edit by HannesZ: Screenshot entfernt.


      Habe danach versucht auf eine andere Seite zuzugreifen, was mich dann wieder in meinen richtigen Account zurückgeworfen hat.
      Scheint also keine große Sicherheitslücke zu sein.

      Gruß
      KeinOhrSchwein
  • 7 Antworten
    • puddelding
      puddelding
      Bronze
      Dabei seit: 03.10.2006 Beiträge: 3.075
      Krass. Zensier aber mal den Screenshot bzgl. seiner Daten da auf der linken Seite.
    • Jayston
      Jayston
      Black
      Dabei seit: 14.07.2005 Beiträge: 9.369
      Hallo KeinOhrSchwein,

      vielen Dank für die Mitteilung.

      Ich habe das an die IT weitergegeben.

      Viele Grüße
      Jayston
    • Zugwat
      Zugwat
      Bronze
      Dabei seit: 03.04.2010 Beiträge: 35.781
      Auf einmal ist man mTw-Davin :D
    • 74er
      74er
      Bronze
      Dabei seit: 20.07.2006 Beiträge: 218
      Original von Zugwat
      Auf einmal ist man mTw-Davin :D
      sind wir das nicht alle? :s_biggrin:
    • Zugwat
      Zugwat
      Bronze
      Dabei seit: 03.04.2010 Beiträge: 35.781
      edit by HannesZ: Glaube, dass muss nicht jeder wissen ;)
    • CmdrKeen
      CmdrKeen
      Bronze
      Dabei seit: 18.06.2007 Beiträge: 500
      Zunächst einmal vielen Dank an KeinOhrSchwein für die Meldung und an puddelding für die Anregung zur 'Zensur' des Screenshots! In der Tat sind private Daten wohl in interner (Ticket-)Kommunikation besser aufgehoben, ob eigene oder – wie hier – fremde.

      Immerhin zeigen wir euch aber ja nicht einmal eure eigenen Poker-Kontonamen an (wenn auch eher für den Fall unsicher gewählter Paßwörter u.ä.), so daß die preisgegebenen Informationen kritischer sein könnten. Da kein Wechsel auf andere Seiten möglich war, lag offensichtlich auch kein fehlerhafter Login vor, es hätten also z.B. keine TaF-Gelder ausgezahlt werden können. Bedenklich und absolut unerwünscht ist der beschriebene Effekt natürlich dennoch!

      Wir hatten einen solchen Fall vor Jahren schon einmal, dort stellte sich heraus, daß die Betroffenen im selben Uni-Netz unterwegs waren und ein übereifriger hauseigener Cache dem einen Nutzer die Seite so geliefert hat, wie er sie für einen anderen von uns erhalten hatte.

      Im vorliegenden Fall erfolgten die Zugriffe ebenfalls vom selben IP-Block desselben Providers, weshalb der Verdacht eines solchen Cache-Problems naheliegt. Da wir nicht dauernd mit solchen Meldungen konfrontiert werden, müssen aber wohl mehrere Faktoren zusammenkommen, daß die beschriebene Situation eintritt.

      Insofern halten wir die Wahrscheinlichkeit, 'Opfer' eines solchen Effekts zu werden, für sehr gering. Dennoch werden wir bei nächster Gelegenheit versuchen, das Risiko mittels mit der Seite mitgelieferte Anweisungen der Art "Dies bitte nicht cachen!" weiter zu senken. Doch schließlich bleiben dies Empfehlungen, denen sich ein Provider nicht unterwerfen muß. Eine andere Maßnahme wäre die Verwendung ausschließlich verschlüsselter Verbindungen (HTTPS, wie z.B. bei Facebook), doch ist dies natürlich ein größeres Unterfangen.
    • KeinOhrSchwein
      KeinOhrSchwein
      Bronze
      Dabei seit: 09.08.2012 Beiträge: 1.722
      Kein Problem. Werde nächstes mal bisschen besser aufpassen mit der "Zensur" ;)

      Grüße KeinOhrSchwein