Ergebnis 1 bis 3 von 3
  1. #1
    Mitglied
    Registriert seit
    Aug 2009
    Beiträge
    2
    Danksagungen
    0

    Standard Live-Stream by SKY umsonst

    Hallo Forum,

    ich bin im digitalfernsehen Forum über einen Beitrag gestolpert, in dem jemand beschreibt, dass vergangenes WE der Zugriff auf das Internet-TV von SKY möglich war und zudem auch noch die Bankdaten der Nutzer einsehbar waren. Dort wurde gemutmaßt, dass der Zugriff über die Session ID im Link möglich war. Im ursprünglichen Blogeintrag (http://blog.rauschconsulting.de) steht aber was von wechselnden Accounts. Da ich hier eher die Experten vermute mal die Frage in die Runde, wie der Zugriff möglich war. Sollte ich im falschen Bereich des Forums sein, bitte verschieben.
    Ich freue mich auf eure Antworten.

  2. #2
    ex-Moderator Avatar von aNtiCHrist
    Registriert seit
    May 2000
    Beiträge
    24.175
    Danksagungen
    125

    Standard Re: Live-Stream by SKY umsonst

    Hier kommen wohl gleich mehrere Fehler/Mängel zusammen:
    • Jemand veröffentlicht einen Link mit einer Session-ID, in der Session ist der Nutzer mit seiner Zugangskennung angemeldet. Das darf man keinesfalls tun, solch eine Session-ID ist wie ein Passwort ein gemeinsames Geheimnis zwischen Server und Client.
    • Sky verwendet selbst bei Übertragung der Session-ID im URI keine Prüfung auf eine wechselnde IP-Adresse und einen wechselnden User-Agent-String, sodass ein Session-Hijack problemlos möglich ist.
    • Sky schützt Daten wie z. B. die Bankverbindung nicht speziell. Hier wäre es ggf. sinnvoll, die Daten nur nach erneuter Eingabe des Passworts anzuzeigen oder die Kontonummer verkürzt darzustellen. Andere Anbieter machen das durchaus.


    Bis hierhin ist eigentlich alles klar, der Hijack lässt sich durch Unkenntnis des Benutzers, kombiniert mit Pfusch bei der Erstellung der Webapplikation erklären.

    Hinzu kommt jetzt noch der seltsame Effekt, dass unter einer Session-ID offenbar mehrere Sessions laufen. Das wäre eigentlich nur denkbar, wenn die Generierung der Session-ID irgendwie kaputt ist und mehrfach die gleiche ID generiert wird. Selbst dann wäre es allerdings fraglich, wie wechselnde Nutzerkonten unter der gleichen Session angemeldet sein könnten. Eine Möglichkeit wäre es wohl, wenn die Nutzer einen falschen Namen sehen, sich abmelden und sich dann erneut anmelden. Wenn das mehrere Nutzer mehrfach nacheinander tun, könnten sie sich somit gemeinsam Abmelden und mit einer anderen Kennung anmelden, usw. Eventuell war auch die Tabelle in der Datenbank oder das Dateisystem mit den Sessiondaten defekt, sodass falsche Sessiondaten zurückgegeben wurden.

    Solange Sky dazu keine Stellungnahme veröffentlicht, wird das aber wohl für immer eine Mutmaßung bleiben. Falls es sich denn in Wirklichkeit überhaupt so zugetragen hat. Nur weil das in irgendeinem unbekannten Blog steht, muss es ja noch nicht stimmen.

  3. #3
    Mitglied

    (Threadstarter)


    Registriert seit
    Aug 2009
    Beiträge
    2
    Danksagungen
    0

    Standard Re: Live-Stream by SKY umsonst

    Hallo Antichrist,
    Danke für die ausführliche Antwort. Also war das wohl eine einmalige Sache am vergangenen Wochenende.
    Das mit den wechselnden Accounts finde ich dennoch spannend. Klar könnte das Blödsinn sein. Aber warum sollte man dass dann Schreiben. In den Kommentaren steht außerdem auch etwas in der Richtung... Naja aber wie Du sagst. Solange SKY nix dazu sagt.

  4.  
     
     

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •