Am heutigen (sehr warmen 
) Samstag, erinnerte ich mich dunkel an eine Spieleplattform die vor etwas über einem Jahr die Pforten in Form einer Betaphase öffnete. Sogar heise.de berichtete darüber, siehe “Netzwerk für Gamer startet öffentlichen Beta-Test“.
Woran ich mich auch nur zu gut erinnern konnte waren die diversen Sicherheitslücken die die Plattform beinhaltete.
Selbst ständiges berichten brachte dort nichts mehr, denn es wurde nur das behoben was auch berichtet wurde. Die Betreiber haben meiner Meinung nach keine Ahnung von Sicherheit oder wie man diesen Prozess umsetzt und weiterführt. Selbst die Seite auf die man gelangt wenn man eine Einladung erhält, enthält XSS Lücken. Der Horror schlechthin, schlichtweg ein Sicherheitsalptraum. Auf diversen anderen Seiten die der Anbieter betreibt, sieht es nicht anders aus.
Diverse Meldungen über Lücken in den Anwendungen haben nix gebracht. Die Geschäftsführung ignoriert einen sowieso.
Es findet sich alles. Persistent XSS, Reflective XSS, SQL-Injection … directory traversals hab ich noch nicht ausfindig gemacht, bzw hab ich danach noch nicht gesucht, was nicht heißt das es keine gibt. Sicherlich gibt es noch diverse second order Lücken, aber spekulieren mag ich dann auch nicht.
Entwickelt bitte ein Verständnis für Sicherheit, das Sicherheit ein Prozess ist und kein Zustand und das man so keine Anwendungen designen kann. An einer von drei stellen wird eine bestimmte Usereingabe gefiltert und an den anderen zwei nicht. Warum wird dies nicht zentralisiert gehandhabt, so wie es sich gehört. Dort macht sich bei mir einfach nur Unverständnis breit. Wieso speichert man die Dinge nicht gleich Umgewandelt ab, wenn die Seite in keinster Weise HTML Eingaben benötigt. Unverständlich.
Ganz besonders schlimm, das die Passwörter als MD5-Hash im Cookie gespeichert werden, sowie die User-ID und wie sollte es auch anders sein die Session-ID. Warum MD5 gespeicherte Passwörter eine verdammt schlechte Idee sind und man sie erst recht nicht im Cookie hinterlassen sollte, dürfte jedem mit ein wenig Verständnis im Bereich Sicherheit klar sein. Jeder andere darf gern Google verwenden oder ha.ckers.org besuchen. Es soll nicht heißen das MD5 an sich schlecht ist. Allerdings ist die beschriebene Kombination *sehr schlecht*
Glücklicherweise muss man hier sagen, hat die Plattform wohl nicht den Erfolg gefeiert den man gern gehabt hätte. Hier kann ich wirklich nur sagen, glück gehabt 
. Vielleicht greift jemand bekannteres das Thema auf 
oder es findet sich jemand der es ausnutzt und etwas schlimmeres anstellt als PoCs zu veröffentlichen. Nicht das ich hier zu so etwas aufrufen würde .
Was man gleich noch, vielleicht auch mehr als beiläufig, erwähnen sollte, der Internetauftritt von unserem lieben Herrn Schäuble wurde heute gehackt.