eBay verbietet JavaScript in Angeboten
Endlich reagiert eBay darauf, dass böswillige Anbieter die Benutzerdaten von Bietern per JavaScript ausspähen können: Die überarbeiteten Nutzungsregeln verbieten zahlreiche JavaScript-Funktionen.
eBay hat sich endlich einer lange bekannten Sicherheitslücke angenommen: Die überarbeiteten Nutzungsregeln verbieten die Nutzung zahlreicher JavaScript-Funktionen, über die sich die Benutzerdaten argloser Bieter ausspähen lassen. Noch vor einer Woche hatte eBay behauptet, keine Informationen über eine von einem Hannoveraner Computerexperten gefundene Sicherheitslücken zu haben. Nur einen Tag später räumte das Auktionshaus ein, das Problem schon länger zu kennen, bezeichnete es aber als "rein theoretische Sicherheitslücke".
Jetzt hat eBay erste Konsequenzen gezogen: Ein "überarbeiteter Grundsatz zur Verwendung von Skriptsprachen beim Anbieten von Artikeln" vom 1. Oktober verbietet zahlreiche Skript- und HTML-Funktionen. Dazu gehören das Setzen von Cookies, die Weiterleitung zu anderen Internet-Angeboten, die Einbindung externer Skripte oder Seiten per Includes oder Iframes sowie der Aufruf von Pop-ups. Verboten wird auch der automatische Download aktiver Inhalte von anderen Computern -- mit Ausnahme von Flash-Filmen. Untersagt sind des Weiteren Skripte, die den Inhalt einer Artikelbeschreibung manipulieren oder den Quellcode verschleiern.
Als Grund für die Verbote nennt eBay, sie würden "die Funktionalität" der Auktionsplattform beeinträchtigen. Angebote mit den untersagten Inhalten werde das Unternehmen von der Site entfernen. Unklar bleibt, ob eBay auch aktive Schritte plant, um etwa JavaScript-Aufrufe beim Upload aus den Angeboten herauszufiltern. Nur damit könnte der Konzern technisch unterbinden, dass bösartige Anbieter die Sicherheitslücke ausnutzen. (mhe)
