FWX - AZ ohne Losepw? Sicherheit?

M

MasterYoda

Well-known member
ID: 104019
L
24 April 2006
4.085
648
Moin,

Überschrift sagt alles, wieso kann man bei FWX ohne Losepw auszahlen? Klar das Feld zur Eingabe ist da aber mit ein kleinen "Trick" vollkommen wertlos :roll:

Ich habe eben bei 3 FWX das getestet und bei allen 3 ging es :evil:

Klar ist das jetzt nicht so schlimm weil der böse Bube Zugang zum Seitenaccount braucht und/oder Klamm/EF Account.

Bei anderen Seiten wie SS oder SI braucht man auch kein LPW zum AZ aber die haben ihre eigenen Scripte und kein Standard

Was haltet ihr davon? Schlimm oder normal das man ohne LPW auszahlen kann bei FWX?

MY
 
Warum sollte man überhaupt ein LPW zum Auszahlen brauchen?

Die Lose landen auf dem dem Konto des Eigentümers, um Auszahlen zu können, muss vorher eine gültige Authentifizierung stattgefunden haben, ich sehe an dem System kein Problem.

Dass man beim Einzahlen ein LosePW braucht, da vom Klamm-Konto Lose weggeholt werden ist klar, aber wenn ich diese draufpacke, ist es doch egal.
 
MasterYoda1000 schrieb:
Klar das Feld zur Eingabe ist da aber mit ein kleinen "Trick" vollkommen wertlos :roll:
Zum Vergrößern anklicken....

:ugly: Beim 1. Versuch ein Volltreffer und den "kleinen Trick" erraten und das ohne jemals in den Quellcode des FWX geguckt zu haben 8):mrgreen:

Ein Sicherheitsproblem sehe ich da aber auch nicht.

Wenn der Klammacc gecrackt wurde, macht es keinen Unterschied ob das lpw verlangt wird oder nicht da der böse Bube ja eh schon das Klammpw und somit das lpw hat.

Wenn der Klammacc nicht gecrackt ist aber der Seitenaccount kann der böse Bube ja eh nur auf das richtige Klammkonto auszahlen und hat dann wieder keinen Zugriff mehr auf die Lose.

mfg

Chris
 
Ich kann da meinen Vorposten nur zustimmen...
Deswegen kann ich nicht verstehen, warum man das bei der Auszahlung benötigt. Wenn man jetzt zusäzlich noch über einen Trick das Konto ändern könnte, auf dem die Lose landen, dann würde ich mir Sorgen machen, aber so ist mir das relativ egal ob nach einem lpw gefragt wird oder nicht bzw. ob man es aushebeln kann oder nicht.
 
Das wird daran liegen das MIT Abfrage die Lose noch beim Betreiber bleiben wenn zb der Account bei Klamm gesperrt ist.

Ist der User dann bei Klamm gesperrt sind die Lose beim Betreiber ;)

Kann man Auszahlen so hat der Betreiber nichts von.
 
Ich finde auch das man beim Auszahlen das Losepasswort nicht brauchen sollte.
Bei vielen Seiten wird es zwar benötigt aber die überprüfung ist einfach nur wertlos.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben