Kommentare zu: Passauer Neue Presse berichtet über Datenpanne bei der DHL http://netzrecht.org/passauer-neue-presse-berichtet-uber-datenpanne-bei-der-dhl/ Recht in der digitalen Gesellschaft Tue, 08 Jun 2010 03:31:45 +0000 http://wordpress.org/?v=2.9.2 hourly 1 Von: oliver http://netzrecht.org/passauer-neue-presse-berichtet-uber-datenpanne-bei-der-dhl/comment-page-1/#comment-40 oliver Wed, 15 Jul 2009 12:27:48 +0000 http://netzrecht.org/?p=152#comment-40 Weiter so, Sebastian! Danke & Gruß Oliver Weiter so, Sebastian!

Danke & Gruß
Oliver

]]> Von: Michael Schwarz http://netzrecht.org/passauer-neue-presse-berichtet-uber-datenpanne-bei-der-dhl/comment-page-1/#comment-39 Michael Schwarz Tue, 14 Jul 2009 14:55:01 +0000 http://netzrecht.org/?p=152#comment-39 Jetzt wurde die Lücke geschlossen. Sobald eine Referenznummer mehr als einmal vergeben wurde, so bekommt man nun den Hinweis: "Zu der gesuchten Referenznummer liegt kein eindeutiges Suchergebnis vor." Man bekommt u.a. auch eine Telefonnummer angezeigt, um den Status zu erfragen. Jetzt wurde die Lücke geschlossen. Sobald eine Referenznummer mehr als einmal vergeben wurde, so bekommt man nun den Hinweis:

“Zu der gesuchten Referenznummer liegt kein eindeutiges Suchergebnis vor.”

Man bekommt u.a. auch eine Telefonnummer angezeigt, um den Status zu erfragen.

]]> Von: Michael Schwarz http://netzrecht.org/passauer-neue-presse-berichtet-uber-datenpanne-bei-der-dhl/comment-page-1/#comment-38 Michael Schwarz Tue, 14 Jul 2009 09:27:07 +0000 http://netzrecht.org/?p=152#comment-38 Ich versuche es mal so zu erklären ohne dass man es gleich ausnutzen kann. Ein Formular enthält i.d.R. Mehrere Eingabefelder, die eingegebenen Daten werden per POST (verdeckt) oder GET (sichtbar in der Adresszeile) vom Browser an den Server übertragen. Ein kleines Beispiel zur Erläuterung. Kontaktformular Feld 1: name / Feld 2: email / Feld 3: mitteilung Nach dem Ausfüllen und einem Klick auf "Senden" wird folgendes übertragen: http://domain.tld/?name=max&email=x@yza.tld&mitteilung=Hallo+Welt Wenn ich nun aus dem Formular das Feld 1 (name) entferne, so kann niemand mehr seinen Namen in das Formular einfügen. Wer allerdings die komplette URL kennt, die an den Server übertragen wird, der kann diese natürlich weiterhin benutzen, um auch seinen Namen zu übertragen. Wer ausschließen möchte das "name" von dem Script weiterhin verarbeitet wird, der muß natürlich das Script bearbeiten und den Teil löschen/modifizieren der "name" verarbeitet. So, und was hat nun DHL gemacht? Sie haben am vergangenen Samstag einfach nur ein Formularfeld aus der Seite entfernt und zwar das Feld "Referenznummer". Das Script welches die Eingaben aus dem Formular verarbeitet wurde aber nicht modifiziert, d.h. wer die komplette URL kennt, in der zweimal eine PLZ auftaucht, der kann die Lücke weiterhin ausnutzen. Ich habe DHL zweimal auf die noch bestehende Lücke hingewiesen, mal schauen wann die Jungs tätig werden. :O) Ich versuche es mal so zu erklären ohne dass man es gleich ausnutzen kann.

Ein Formular enthält i.d.R. Mehrere Eingabefelder, die eingegebenen Daten werden per POST (verdeckt) oder GET (sichtbar in der Adresszeile) vom Browser an den Server übertragen.

Ein kleines Beispiel zur Erläuterung.

Kontaktformular
Feld 1: name / Feld 2: email / Feld 3: mitteilung

Nach dem Ausfüllen und einem Klick auf “Senden” wird folgendes übertragen:
http://domain.tld/?name=max&email=x@yza.tld&mitteilung=Hallo+Welt

Wenn ich nun aus dem Formular das Feld 1 (name) entferne, so kann niemand mehr seinen Namen in das Formular einfügen. Wer allerdings die komplette URL kennt, die an den Server übertragen wird, der kann diese natürlich weiterhin benutzen, um auch seinen Namen zu übertragen.

Wer ausschließen möchte das “name” von dem Script weiterhin verarbeitet wird, der muß natürlich das Script bearbeiten und den Teil löschen/modifizieren der “name” verarbeitet.

So, und was hat nun DHL gemacht? Sie haben am vergangenen Samstag einfach nur ein Formularfeld aus der Seite entfernt und zwar das Feld “Referenznummer”. Das Script welches die Eingaben aus dem Formular verarbeitet wurde aber nicht modifiziert, d.h. wer die komplette URL kennt, in der zweimal eine PLZ auftaucht, der kann die Lücke weiterhin ausnutzen.

Ich habe DHL zweimal auf die noch bestehende Lücke hingewiesen, mal schauen wann die Jungs tätig werden. :O)

]]> Von: Sebastian Ehrhardt http://netzrecht.org/passauer-neue-presse-berichtet-uber-datenpanne-bei-der-dhl/comment-page-1/#comment-36 Sebastian Ehrhardt Mon, 13 Jul 2009 14:02:18 +0000 http://netzrecht.org/?p=152#comment-36 @Michael Danke für den Hinweis! Kannst du genauer erklären, wie man an die Daten dennoch gelangt? Das System (2x Postleitzahl) funktioniert ja definitiv nicht mehr... @Michael Danke für den Hinweis! Kannst du genauer erklären, wie man an die Daten dennoch gelangt? Das System (2x Postleitzahl) funktioniert ja definitiv nicht mehr…

]]> Von: Michael Schwarz http://netzrecht.org/passauer-neue-presse-berichtet-uber-datenpanne-bei-der-dhl/comment-page-1/#comment-34 Michael Schwarz Mon, 13 Jul 2009 11:34:59 +0000 http://netzrecht.org/?p=152#comment-34 "Fehler inzwischen behoben" Nein, nicht behoben, die Daten sind weiterhin frei zugänglich. DHL hat bisher nur ein Formularfeld aus dem Template entfernt, sonst nichts. “Fehler inzwischen behoben” Nein, nicht behoben, die Daten sind weiterhin frei zugänglich. DHL hat bisher nur ein Formularfeld aus dem Template entfernt, sonst nichts.

]]>