Einfach und unsicher im Internet bezahlen Heute: Die von den Deutschen Telekomikern betriebene, vom TÜV geprüfte und mit diversen Logos für allerhand Sicherheits-Schlangenöl

verzierte Website von Click&Buy ermöglichte es, mit einer XSS-Attacke das Login-Cookie anderer Nutzer mitzunehmen. Click and bye, sozusagen. So hätten Angreifer fröhlich mit dem Geld anderer Leute einkaufen können, was ja viel kostensparender als das eigene Geld ist. Und falls jemand glaubt, die Telekomiker bei Click&Buy seien es geht ja nur um so etwas Unwichtiges wie Geld um die Sicherheit ihrer Website wenigstens ein bisschen bemüht gewesen: Wenn man die auf so eine Lücke hinweist, passiert erstmal wochenlang nichts. Ich glaube beim Lesen solcher Zeilen ja immer, dass da noch so manche Lücke offen sein könnte, ohne dass jemand was tut.

Ich kanns nicht oft genug sagen: Weder Bullshit-Zertifikate noch große Marken und Unternehmen sind ein Grund für Vertrauen im Internet. Schon gar nicht, wenns um Geld geht.

Kleiner Nachtrag: Die scheinen ja in gewissen Kreisen sehr beliebt zu sein