Manipulierbare Artikelbeschreibungen bei eBay

eBays Artikelbeschreibungen sind trotz gelegentlicher Bemühungen nach wie vor manipulierbar und daher ein ernstes Sicherheitsrisiko.

Dass das so ist, wird in dieser Auktion auf harmlose Weise eindrucksvoll demonstriert: Dort führt ein Klick auf eine beliebige Stelle im linken Bildschirmbereich nicht etwa zu den angegebenen eBay-Funktionen, sondern zu der Website http://geolgautz.com/frage.html. Diese überraschende Verlinkung ist in dem Fall harmlos - aber mit der selben Technik könnte auch weit Schlimmeres erreicht werden: Der Link könnte zu einer Phishing-Seite führen. Eine solche Phishing-Site könnte einer eBay-Seite zum Einloggen täuschend ähnlich sehen und so die nichtsahnenden Nutzer verleitet werden, den Betrügern dort ihr Passwort preiszugeben.

Zwar muss man bei eBay seit einiger Zeit diverse Kriterien erfüllen, um aktive Inhalte bzw. Skripte in Artikelbeschreibungen einzufügen. Diese Manipulation ist aber einfacher gestrickt und beruht eben nicht auf z.B. JavaScript, sondern auf bei eBay grundsätzlich erlaubten Techniken.

Update: Bei eBay hat man erwartungsgemäß meinen Artikel gelesen und die betreffende Auktion gelöscht - zusammen mit etwa 50 anderen, die nach dem gleichen Muster arbeiteten. Hier können Sie sich ansehen, wie das Angebot aussah.

aXel Gronen
Köln, 28.02.2007
Mail: webmaster@wortfilter.de
Axel Gronen August 2006
Vorherige Meldung Vorherige Meldung

Meldungen 1. Quartal 2005     Meldungen 4. Quartal 2004     Meldungen 3. Quartal 2004
Meldungen 2. Quartal 2004     Meldungen 1. Quartal 2004     Meldungen 2002 und 2003

© 2007 bei Axel Gronen. Letzte Aktualisierung: 28.02.07.
Etwaige Rechtschreib- und Grammatikfehler in diesem Text sind gewollt und wurden hier mit Absicht versteckt. Wer sie findet, darf sie behalten oder auf eBay versteigern. Best viewed with open eyes and a human brain ver. 1.0 or above.

Wortfilter-Logo