Skip to content
{ 2007 11 01 }

Session-IDs in veröffentlichten URLs sind evil

Das zeigt das aktuelle Beispiel beim Shopblogger:

Eine Unachtsamkeit seitens des Bloggers Björn Harste der auf einen Artikel in seinem Shop verlinken wollte, aber vergaß, die Session-ID aus der URL zu entfernen.

Jedem Besucher seines Blogs offenbarte er damit unfreiwillig (s?)einen Account, den auch scheinbar sofort Leute nutzten, um Artikel aus seinem Shop zu bestellen:

Session-ID in veröffentlichter URL führt zur Übernahme des Accounts

Einmal im Shop als ominöser Philipp "eingeloggt" gewesen, ließen sich auch die Kontaktdaten inklusive Emailadresse, Telefon- und Faxnummer

Session-ID in veröffentlichter URL führt zur Übernahme des Accounts

sowie die bereits getätigten Bestellungen einsehen:

Session-ID in veröffentlichter URL führt zur Übernahme des Accounts

Darum: Beim Veröffentlichen von URLs (das gilt auch für Instant Messenger und Emails) immer die Session-IDs entfernen!

(Zur Ehrrettung Björns sei gesagt, daß er relativ schnell reagiert und den Blogeintrag offline genommen hat)

Posted by Marcel on Donnerstag, November 1, 2007, at 22:10. Tagged Security. Follow any responses to this post with its comments RSS feed. Both comments and trackbacks are currently closed.

{ 4 } Comments

  1. Overkill | 2. November 2007 at 15:01 | Permalink

    Zudem sehen die URLs (wenn sichtbar - wie z. B. in IM Nachrichten) damit auch endhässlich aus. :)

  2. Marcel | 7. November 2007 at 00:09 | Permalink

    ach, das kann passieren :)

  3. Andreas | 21. November 2007 at 18:14 | Permalink

    Passiert hier noch was?

  4. robo47 | 21. November 2007 at 19:11 | Permalink

    Ein Shop der sich so einfach über NUR die Session-Id einloggen lässt ? Naja, das finde ich etwas unschön, da sollte doch schon noch ein paar Abfragen mehr gemacht werden.