heisec-Chefredakteur Jürgen Schmidt entdeckte zufällig beim Online-Banking, dass der Webauftritt der SEB-Bank das Einbetten fremder Inhalte auf mindestens drei verschiedene Arten ermöglichte. Ein PHP-Skript lud auch externe Web-Seiten nach, die meisten Seiten einschließlich des Logins zum Online-Banking nutzten ungeschützte Frames und viele der Web-Applikation waren anfällig für Cross-Site-Scripting.
Während Cross-Site-Scripting und Nachladen abgestellt wurden, bleibt die Frame-Spoofing-Problematik vorerst ungelöst. Kimmo Best, zuständig für "Marketing und Kommunikation" der SEB, erklärte auf Nachfragen, dass der Internatauftritt der SEB-Bank "historisch gewachsen" sei und räumte ein, "dass einzelne technische Elemente aktualisiert werden müssen". Insbesondere wolle man die Frames mit einem zum Jahreswechsel geplanten Relaunch entfernen – zumindest soweit die normalen Seiten betroffen sind. Um die Login-Seite für das Online-Banking sicher zu gestalten, sei jedoch "eine Anpassung an die in Schweden gehosteten Seiten/Systemen notwendig", für die er keinen Termin nannte.
Schmidt beschreibt in dem Artikel Online Banking fatal, Vom ausgezeichneten Webauftritt zum Security-Desaster, wie er abends, als er eigentlich nur eine Überweisung auf den Weg bringen wollte, über ein Sicherheitsproblem nach dem anderen stolperte. Er kommt zu dem Fazit, dass sich in den Webauftritt nicht etwa einzelne Fehler eingeschlichen hätten, vielmehr zeugt die Site "von kompletter Ignoranz was aktuelle Sicherheitsfragen angeht".
Quelle :
www.heise.de
