Datenschleuder des tages

Wer in den vergangenen Wochen bei einer Online-Apotheke wie Sanicare oder Apotal Medikamente bestellt hat, lief Gefahr, dass Fremde diese Bestellungen mitlesen konnten […]

[…] Jeder Internetnutzer konnte, wenn er auf der Seite einer der betroffenen Versandapotheken war, in der Internet-Adresszeile die Wörter „server-status“ eingeben und schon öffnete sich auf dem Bildschirm eine Liste aller Vorgänge, die gerade auf dem Server der Online-Apotheken stattfanden. In dieser Liste fanden sich auch so genannte „Session-IDs“ von Kunden, mit deren Hilfe Fremde in das Profil eines Kunden hätten eindringen können, der gerade online war

Weia! Im „server-status“ des apache-websörvers stehen „nur“ die aufgerufenen URIs (und die IP-adressen, von denen sie aufgerufen wurden). Das heißt also, dass die session-ID in der URI enthalten war und somit sowieso schon „nicht ganz so toll“ übertragen wurde, weil sie ja zum beispiel auch in logdateien des sörvers, TLS-aushebelnder antivirus-schlagenöle und eventuell verwendeter proxysörver landen — aber hej, es sind ja nur bestellungen von medikamenten, die dann offengelegt werden. Das ist doch keinen verdammten gedanken wert! Das ist doch nicht das geschäft, dieser technische frickelkram! :mrgreen:

Hauptsache, ihr haltet im apotekenladen den abstand vom verkaufsbereich ein…

Übrigens, werter herr datenschutzbeauftragter, der sie so etwas für ein besonders schweres problem halten: hier in hannover gibt es ein paar apoteken (einzelheiten sage ich dazu nicht, die müssen sie schon selbst ermitteln), die benutzen dieses whatsäpp vom fratzenbuch. Da kann man mit dem wischofon das rezept fotografieren, das bild über whatsäpp zur apoteke senden und dann bringt ein bote die medikamente zur haustür. Wie finden sie das? (Ich halte das, was diese scheißapoteker anbieten, zum beispiel für vorsätzlich kriminell. Ich werde aber auch immer für weltfremd, ängstlich, technikfeindlich und rückschrittlich gehalten, wenn ich bei diesem bekwemen verfahren meine paar bedenken äußere.)