Auch wenn lange nichts mehr unter der Rubrik News veröffentlicht wurde, heißt das noch lange nicht, daß nichts passiert ist.
Heute gerade frisch reingekommen:
klarna.com full path disclosure
Gefunden, weil ein Händler wohl sichtlich angefressen war, daß ständig irgendwelche technischen Probleme eine reibungslose Nutzung dieses „tollen Service“ (Achtung, Ironie inside…) verhindern.
Stimmt, da hilft dann auch kein Veröffentlichen des technischen Zustandes:
Wenn man als Zahlungsdienstleister auftritt, sollte man schon geeignete Hard- und Software haben.
Oh, wobei wir dann ja beim eigentlichen Thema wären:
/var/app/klarna/current/sites/all/modules/frojd/self_service/ideal/ideal.class.php
Sieht in live so aus:
Ob man so jemandem seine sensiblen Daten anvertrauen sollte, muß jeder für sich selbst entscheiden.
Zur Entscheidungshilfe sei aber angemerkt, daß generell das Thema Errorhandling nicht wirklich ernst genommen wurde:
Aber wie schon geschrieben, jeder Händler trifft seine Entscheidungen für sich.
(und wer weiß, vielleicht gab es auf dem Server ja noch mehr Informationen…)
So, und jetzt haken wir mal bei Gambio nach, modified-shop hat ja schon laaaange Fixes für die gemeldete XSS-Lücke veröffentlicht.
(das wird dann aber ein anderer Blogeintrag).