Blog

klarna.com full path disclosure

klarna.com full-path-disclosure

Auch wenn lange nichts mehr unter der Rubrik News veröffentlicht wurde, heißt das noch lange nicht, daß nichts passiert ist.

Heute gerade frisch reingekommen:
klarna.com full path disclosure

Gefunden, weil ein Händler wohl sichtlich angefressen war, daß ständig irgendwelche technischen Probleme eine reibungslose Nutzung dieses „tollen Service“ (Achtung, Ironie inside…) verhindern.

Stimmt, da hilft dann auch kein Veröffentlichen des technischen Zustandes:
klarna.com Betriebsstatus

Wenn man als Zahlungsdienstleister auftritt, sollte man schon geeignete Hard- und Software haben.

Oh, wobei wir dann ja beim eigentlichen Thema wären:
/var/app/klarna/current/sites/all/modules/frojd/self_service/ideal/ideal.class.php

Sieht in live so aus:
klarna.com Footer

Ob man so jemandem seine sensiblen Daten anvertrauen sollte, muß jeder für sich selbst entscheiden.

Zur Entscheidungshilfe sei aber angemerkt, daß generell das Thema Errorhandling nicht wirklich ernst genommen wurde:
klarna.com XML Verarbeitungsfehler

Aber wie schon geschrieben, jeder Händler trifft seine Entscheidungen für sich.
(und wer weiß, vielleicht gab es auf dem Server ja noch mehr Informationen…)

So, und jetzt haken wir mal bei Gambio nach, modified-shop hat ja schon laaaange Fixes für die gemeldete XSS-Lücke veröffentlicht.
(das wird dann aber ein anderer Blogeintrag).