4 Antworten zu “Security des tages

  1. Das tut ja weh. Nicht, dass ich von Paypal noch irgendwas in Richtung Qualität erwarten würde, aber SO eine Dämlichkeit…
    Ist da wenigstens HTTPS zwingend, so dass die Manipulation nicht ganz so einfach zu machen ist?

    • Antwort: Nicht, wenn man genau hinguckt.
      Denn Zertifikate prüfen, bringt ja nur unnötig Ärger, nicht wahr.
      Und API-Zugangspasswörter sind auch nur eine Formalie, Geheimhaltung ist da nicht vorgesehen.
      Und die verlinkte Beschreibung lässt offen, ob die Zugangskennwörter überhaupt personalisiert sind.
      Oh Graus. Ein Klopper nach dem anderen. Ich darf da gar nicht weiter lesen.

      • Auch schön aus der Timeline des obigen Advisories:

        Paypal claim no risk to Paypal brand

        Ja, die Marke ist schon so verbrannt, da würde Qualität eher stören.

      • Und wenn man sich die Ursachen anschaut:

        paramSslErrorHandler.proceed()

        Das ist keine Sicherheitslücke. Das ist ein ausdrücklich aufgemachtes Anti-Sicherheits-Breitseitentor und sollte als solches beschrieben und teuer abgemahnt werden, etwa vom Verbraucherschutz. Hierzulande schwelgt man bereits bei unverschlüsseltem WLAN in Störerhaftung; da sollte das Ignorieren von Fehlern beim Erstellen eines geschützten Kanals noch deutlich härter geahndet werden.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.