Bezahl-Websites - Spoofing & Cookies
Website-Spoofing: Auch besser geschützte Sites lassen sich hacken
Viele Anbieter von Bezahl-Websites schützen sich gegen Deep Links. Wenn ein nicht angemeldeter Nutzer einen solchen Link in seinen Browser eingibt, wird er automatisch zur Login- oder zur Hauptseite umgeleitet. Doch auch diese Technik weist Mängel auf: Ob ein Anwender angemeldet ist oder nicht, erkennt der Server daran, von welcher Web-Seite er gerade kommt. Das verrät der Browser über den Referrer.
Der Gedanke dahinter: Hat sich ein Nutzer erfolgreich eingeloggt, landet er automatisch im Bezahlbereich, etwa "www.hauptseite.com/bezahlen/inhalt1.htm". Von hier aus darf er auf weitere kostenpflichtige Seiten wechseln, die jeweils prüfen, ob er vorher auf einer Bezahlseite war. So ist sichergestellt, dass sich der Nutzer zu Beginn einmal angemeldet hat. Nur wenn seine letzte Seite eine ganz andere war, etwa "www.andereseite.com", wird er von der Bezahlseite abgewiesen.
Laut Systemadministrator Baumgarten ist dieser Schutz gegen Deep Links recht verbreitet, lässt sich aber ebenfalls aushebeln. "Sie müssen dem Server nur vorgaukeln, dass Sie vorher schon auf einer Bezahlseite waren. Das ist mit speziellen Tools kinderleicht." Einem Server etwas vorgaukeln nennt sich auch spoofen. Das englische Wort "to spoof" bedeutet schwindeln, hereinlegen, betrügen. Der Betrug findet im Header des HTTP-Protokolls statt, den der Browser überträgt. Darin ist die Information manipuliert, von welcher Seite der Benutzer gerade kommt.
Damit auch Computerlaien so etwas zustande bringen, haben Hacker kleine Programme entwickelt und ins Internet gestellt, etwa ein Plug-in für den Browser Firefox. Einsteiger ins Hacker-Geschäft müssen nicht mühsam nach den passenden Sites suchen, denn das Plug-in verlinkt auf ein Internet-Forum. Dort finden sich Konfigurationsdateien, in denen sich sowohl die Deep Links als auch die vorgetäuschte Ursprungsseite finden. Nach der Installation stehen dem Hobby-Hacker Web-Seiten mit so klangvollen Namen wie "Bobs Videos" und "Yvon's Training" zur kostenlosen und illegalen Nutzung offen.
Cookies: SimplerSchutz, der sich ebenso simpel aushebeln lässt
Im Kampf gegen den Diebstahl ihrer Bezahlinhalte versuchen Administratoren immer wieder neue Techniken. Sie sollten möglichst einfach und gleichzeitig möglichst wirkungsvoll sein - was nicht immer funktioniert. "Ein regelrechter Flop waren unsere Cookies", erzählt Baumgarten. "Hatte ein Anwender einmal bezahlt und sich angemeldet, bekam er von uns ein Cookie mit entsprechenden Infos auf die Festplatte gelegt. Danach konnte er ohne erneuten Login immer wieder auf unsere Site."
Doch diese Cookies hatten einen Haken: Raffinierte Anwender konnten sich die Cookies einmal beiseite sichern und danach den Bezahlservice abbestellen. Anschließend spielten sie die Datei wieder zurück und surften mit minimalen Änderungen daran weiter. "Dieser Fehler fiel mir erst auf, als einmal 300 Anwender gleichzeitig eingeloggt waren, obwohl wir nur 250 registrierte Nutzer haben", gesteht Baumgarten. Heute verwendet er besser gesicherte Cookies.
Lesen Sie auf der nächsten Seite:
Vorherige Seite
Seite 3 von 11
Nächste Seite
