Unister mit Sicherheitslücke: Session-Hijacking
Alexander Trust, den 6. Dezember 2006Beim StudiVZ-Konkurrenten Unister ist über die URL-Zeile das Session-Hijacking möglich, da Unister diese in den URL integriert.
Möchte man auf eine Webseite verlinken, kopiert man für gewöhnlich den URL aus der Browserzeile und integriert ihn an anderer Stelle zum Verweis.
Ich verlinkte kürzlich auf einen Unister-Beitrag und teilte diesen in den Kommentaren der Blogbar. Daraufhin meldete sich der Hamburger Kai Pahl umgehend bei mir, man könne sich meines Profils bemächtigen. In den Kommentaren des Artikels in der Blogbar kam es unmittelbar zur Diskussion. Man entfernte auch dort den Link, den ich eingestellt hatte, und informierte ebenfalls Unister über dieses Sicherheitsleck.
Als „Proof of Concept“ wurden auf meinem Unister-Profil die Einträge für die Angaben zur Heimatstadt und zum Heimatland von zwei unterschiedlichen Personen verändert.
Session
Die ganze Zeit über war „ich“ bei Unister eingeloggt. Hätte ich mich ausgeloggt, wäre die Session womöglich nach einer gewissen Zeit abgelaufen. Doch eigentlich sollte es nicht möglich sein, dass in einem System zwei verschiedene IP-Nummern gleichzeitig unter ein und demselben Profil eingeloggt sein dürfen.
Das sind Kinderkrankheiten aus den ersten Tagen des Webs. Man fragt sich, warum solche Dinge heute, im Kontext von Social Networks und Web 2.0 noch immer nicht ausgemerzt werden. Es drängt sich der Verdacht auf, dass die Programmierer solcher Projekte ihren Code lediglich kopieren, und sich so die Fehler ungesehen fortpflanzen.
Dass Nutzer sich für gewöhnlich nicht abmelden, hat hauptsächlich in der Bequemlichkeit seine Gründe. Es sei jedem angeraten, in Zukunft darüber nachzugrübeln, ob man sich vielleicht nicht doch besser „immer“ abmeldet. Online-Banking-Systeme loggen Nutzer ihrerseits automatisch nach einer gewissen Zeit der Inaktivität aus, um das Kapern von Sessions zu verhindern.