Zitat:

Zitat von stefanbecker

Kannst gerne was neueres haben:

Du weißt wie wertlos 10 Jahre alte Sicherheitsproblemthreads sind.

Zitat:

Zitat von stefanbecker

Die StarMoney Community • Thema anzeigen - Fehlermeldung bei Umsatzabfrage PayPal (Screenscraping)

Ändert nichts am Thema, das abhängig vom Verfahren anscheinend bei Starmoney per Screenscraping eben doch externe Daten angezeigt werden.

Sehe ich nicht so, mal abgesehen davon ist "Starmoney" nicht mein Programm, da musst du markusg befragen. Im Thread -soweit ich dies verstanden habe - geht es ja
- um eine veraltete, nicht aktualisierte Version
- eine - möglicherweise falsche - Warnmeldung mit Abbruch (Fehlermeldung) wegen - möglicherweise fälschlich - erkannter Bedrohung.

Wo siehst du in diesem Thread, dass fremde Daten angezeigt worden wären?

Ich habe von diesem Verfahren in der Vergangenheit öfter gelesen, ich fand es schon immer krank. Auch bei aktuellen Versionen scheint es das noch zu geben. Ich habe auf die Schnelle mal ein PDF gefunden von der Sparkasse-Essen, da wird Screenscraping mit Starmoney 8 für PIN/TAN-Classic verwendet.

Es gibt wohl einerseits die Möglichkeit, eine Webseite anzuzeigen und auszulesen. Andererseits scheint es auch eine XML-Schnittstelle zu geben. Siehe auch: Screen Scraping

Was jetzt Starmoney genau nutzt, kann ich dir auch nicht sagen. Ich hatte das auch öfter im Homebankingforum verfolgt, wo halt immer wieder Leute ihr Leid klagten, wenn die Bank ihr Webseite verändert hatte.

Bei Moneyplex wird so ein Müll erst gar nicht unterstützt, Kartenleserlösungen oder wie oben beschrieben ChipTan sind derzeit wohl die besten Lösungen.

Zitat:

Ist ja durch Deinen Nachsatz schon beantwortet: ja, kann er.

Ja! Beispielsweise ermöglicht eine Lücke in deinem Browser es dem Angreifer beliebigen Code auszuführen! Unter Windows hat es der Angreifer (Cracker) dann sehr einfach denn:

• dank der von MS angestrebten Abwärtskompatibilität lässt sich fast jede EXE in jedem Windows ab 2000 (NT5) ausführen bis aktuellem Win8
• da praktischerweise fast jeder Adminrechte unter Windows hat kann schnell das System übernommen werden, u.U. ist man nur noch eine UAC-Meldung von der Kompromittierung dann entfernt

Unter Linux sieht es anders aus:

• niemand der Linux verwendet surft als root
• es gibt zig verschiedene Distros in zig verschiedenen Versionen die untereinander inkompatibel sein können, d.h. u.U. läuft das Script vom Cracker garnit, mal eben so System kompromittieren geht nicht
• der Cracker könnte es aber schaffen "einfache" Shellscripte in den Rechten des Users auszuführen...und im Prinzip damit alle Dateien zerstören, auf die dieser User Schreibrechte hat