INTERNET WORLD Business Logo Abo
eBay Sicherheitslücke
Sonstiges 23.02.2010
Sonstiges 23.02.2010

eBay Sicherheitslücke iFrame-Lücke erlaubt das Einbinden beliebiger Inhalte

Eine Sicherheitslücke beim Onlinemarktplatz eBay sorgt für Aufregung: Mittels iFrame sollen sich beliebige Inhalte in die Angebotsbeschreibungen von Artikeln einbinden lassen. Die vermeintliche Lücke sei aber nicht neu und kann nur theoretisch missbraucht werden, erklärt eBay.

Dazu könne auf der Artikelseite ein Inlineframe angelegt werden, innerhalb dessen sich beliebige Webinhalte anzeigen lassen, berichtet der eBay-Experte Axel Gronen in seinem Blog wortfilter. Auf diese Weise ließen sich beispielsweise auch manipulierte eBay-Seiten oder externe Skripte einbinden, die zur Täuschung von Nutzern oder zum Abgreifen von Userdaten verwendet werden könnten.

Die eBay-Grundsätze verbieten die Verwendung von Skripten und HTML-Inhalten, die externe Skripte und Webseiten aufrufen oder Daten an sie senden. Überdies dürften nur Verkäufer aktive Inhalte einbinden, wenn sie geprüftes Mitglied, PowerSeller, verifiziertes Paypal-Mitglied oder länger als 500 Tage bei eBay registriert sind und mehr als 500 Bewertungspunkte hätten.

Auf Anfrage von internetworld.de erklärte eBay, dass die Möglichkeit, aktive Inhalte einzubinden schon seit Jahren besteht und eng reglementiert ist. Das Problem sei aber ein eher Theoretisches. "Es ist nahezu ausgeschlossen, dass PowerSeller, Mitglieder, deren Identität im Rahmen der Anmeldung als "Geprüftes Mitglied" von der Deutschen Post festgestellt und bestätigt wurde, verifizierte PayPal-Mitglieder oder solche Mitglieder, die bereits lange bei eBay Handel treiben und eine hohe Anzahl von Bewertungspunkten haben, den eBay-Marktplatz in dieser missbräuchlichen Weise nutzen." Als zusätzliche Schutzmaßnahme setze eBay Technologien ein, um solche Schadsoftware zu erkennen und entsprechende Angebote vom eBay-Marktplatz zu entfernen.

Das könnte Sie auch interessieren