Schlamperei auf Apples E-Commerce-Servern

Zwei c't-Leser sind einer Schlamperei auf den Servern von Apples deutschem Online-Store auf die Spur gekommen. Durch Eingabe einer einfachen URL kann man die Statistikseite aufrufen und sehen, wie oft jede Seite des AppleStore aufgerufen wurde. Unter anderem taucht in der Aufstellung auch die Bestellseite des Internet-Shops auf. Kundennamen oder andere sensible Daten kann man jedoch nicht einsehen.

Da Apples Online-Store mit der hauseigenen WebObjects-Umgebung erstellt wurde, muss man die kompromittierende URL mehrfach aufrufen, um alle Instanzen der Anwendung abzuklappern. Addiert man dann die ausgegebenen Seitenaufrufe zusammen, erhält man einen ungefähren Überblick über die Aktivitäten des Servers. Da in der Übersicht auch die Laufzeit der Programminstanz angegeben ist, weiß man auch gleich, über welchen Zeitraum die Aufrufe erfolgten.

Besonders peinlich für Apple: In einem Artikel der AppleCare Tech Info Library beschreibt der Computer-Hersteller detailliert wie man dieses "Guckloch" schließt, das standardmäßig geöffnet ist. Im amerikanischen Store hat Apple gemäß der eigenen Empfehlung den Zugang mit einer Passwortabfrage gesichert. Neben dem deutschen gibt aber beispielsweise auch der italienische Ableger seine Web-Statistik preis. (adb)