Ansichten eines Informatikers

IT-Sicherheit am bekloppten Ende

Hadmut
24.10.2022 18:56

Da hat jemand das Prinzip nicht verstanden.

Vermutlich waren da verschiedene Leute am Werk, der eine hat es gebaut, und der andere hat es verwendet, ohne es zu verstehen.

Golem berichtet über die Gästekarte, die man in einem Urlaubsort an der Nordsee bekommt, , und die verschiedenen Zwecken dient, etwa dem Nachweis, die Kurtaxe gezahlt zu haben, aber auch einen QR-Code mit einem URL trägt, über den man sich irgendwelche Daten über den eigenen Urlaub anzeigen lassen kann, Name, Hotel und sowas sind da drin.

Nun hat der, der die Webseite dazu gemacht hat, offenbar gewisse Ahnung gehabt, denn er hat in den URL jeweils einen 16-Byte-Hash eingebaut, damit man die Seiten nicht per brute-force (eben durch Aufzählen und Durchprobieren) abfragen kann. Das ist sinnvoll und an sich in Ordnung.

Dann kam aber der nächste und hat, damit der QR auf der Karte schön klein bleibt, diese langen URLs durch einen URL-Shortener gedreht, und zwar einen eigenen, der auf der offen verfügbaren Software eines nicht mehr existenten Unternehmens namens “Jobping” beruht, in dem man offen nachlesen kann, wie da die Kurz-URLs aus den langen URLs erzeugt werden: Nämlich iterativ, aus der Nummer des Datenbankeintrages. Und damit kann man sie doch wieder aufzählen und einen nach dem anderen abfragen.

Heißt: Der eine baut eine Sicherheitsmaßnahme ein, die an sich auch wirkt, und der nächste neutralisiert sie wieder, indem er einen Shortener draufpackt, der genau das Gegenteil bewirkt und dazu führt, dass man den Hash nicht mehr wissen muss und die URLs iterativ aufzählen kann.

Herrliches Beispiel dafür, wie Unkenntnis und Unbeachtsamkeit eine eigentlich ausreichende Sicherheitsmaßnahme völlig konterkarieren und neutralisieren.

Ich finde das ohnehin erstaunlich, wie oft inzwischen diese URL-Shortener eingesetzt werden. Die bekommen ja dann jeden Web-Zugriff mit. Und überdies kennen sie dann auch eben jeden URL, und manchmal sind da eben vertrauliche Teile mit drin. Es scheint aber nicht jeder verstanden zu haben, dass darin ein Problem liegt.