Nicht nur TKB hat Sicherheits-Lücken!
Bei omc gelesen, habe ich die Technik auch bei anderen Banken ausprobiert… Und siehe da, es funktioniert auch da! Am Telefon sagte man mir, er werde es gleich an die zuständige Abteilung weiterleiten… Hoffen wir mal, dass dies nicht nur leere Versprechen waren!
Ich möchte nicht sagen das meine Pages alle perfekt sind, aber als Bank sollte man doch keine XSS-Fehler mehr haben!
Bank werde ich nennen, wenn die Lücke behoben ist!
Update 1: Eine Bank wäre schön, es sind schon mehrere!
Update 2: Nicht nur Banken sind betroffen, sondern auch andere grosse Firmen (Zeitungen)…
Update 3:
Die erste Bank “St. Galler Kantonalbank” hat reagiert und hat die Fehler behoben…
Das sind jedoch noch nicht alle!
Update 4:
Eine betroffene Page war die www.kantonalbank.ch 
Seien wir doch mal ehrlich, wie viele Leute hätten die Story geglaubt, wenn eine Mail kommt, alle Kantonalbanken legen das eBanking zusammen, darum müsse man sich da einloggen… Ich glaube viele!
Die ZKB war auch betroffen: (Ist irgendwie so halbwegs behoben, aber alles andere als sauber!)
So das waren alle meine bekannten Bank-Seiten die eine solchen Fehler haben. Ich habe jedoch gestern auch nicht viel mehr Bankwebseiten besucht als diese, …
16. November, 2006 at 15:13
Na bei Zeitungen ist das zwar unschön, aber nicht ganz so schlimm wie bspw. bei Banken (Stichwort Phishing etc.)
16. November, 2006 at 17:32
Oh ein prominenter Lesen
Ok Update 2 war unnötig
Ich habs nur gerade so zufälligerweise gefunden. Also schrieb ich es auch noch schnell hin, ist ja auch XSS…
16. November, 2006 at 17:36
Immer diese Prominenten, können gar nicht mehr inkognito durchs Netz surfen
Naja, unnötig war Update 2 nun auch wieder nicht. Nicht verifizierte Eingaben z.B. über Formulare sind immer schlecht. Nur (meist) einfach nicht soo schlimm, weil man nicht viel damit anfangen kann. Glaub ich jedenfalls
16. November, 2006 at 17:56
Traurig ist, das eine noch betroffene Bank nach meinem Namen sucht anstatt sich um das Problem zu kümmern (Achtung: Annahme; Der User besuchte eine Webseite von mir (die er nicht auswendig kennen kann), zudem steht auf dieser Seite praktisch nur mein Name!)
Der Fehler der angesprochenen Bank, ist jedoch nicht auf der Hauptdomain sondern auf einer eines Zulieferer(?). Ist jedoch direkt auf der Hauptdomain verlinkt. Also eigentlich nicht so schlimm wie SGKB und TKB, aber ist trotzdem eine Seite der Bank!