Wolfgang Sommergut

Oliver Regelmann berichtet von einer groben Sicherheitslücke bei einem Online-Händler. Er hatte aus der Browser-Historie versehentlich eine URL des Shops ausgewählt, die eine alte Session-ID enthielt. Prompt gelangte er unter dem Namen eines anderen Kunden in das System. Nach der Anmeldung unter seiner eigenen Kennung musste er feststellen, dass es nicht möglich war, sich von der Sitzung abzumelden und so die ID zu entwerten. Da passt noch dazu, dass beim Eingabefeld für das Passwort nicht <input type=“password“> verwendet wird, sondern das Kennwort im Klartext zu sehen ist.
Besonders bei kleineren Online-Verkäufern dürfte man öfter auf solche unverzeihlichen Mängel stoßen. Aber auch die Großen sind davor nicht gefeit, wie das Beispiel T-Systems zeigt.