meetOne / Full Disclosure

[Thorsten]

Hallo!

Nicht unbedingt ein reines Server Security Problem - aber was hier so alles zusammengewirkt hat ...

http://seclists.org/fulldisclosure/2012/Jul/366 & http://www.heise.de/newsticker/meldung/Schwere-Spam-Vorwuerfe-gegen-Datingseite-meetOne-1659422.html

mfG
Thorsten

 

[Joe User]

Das nächste Loch wird dort die WebApp sein, da diese unter UID 0 läuft...

 

[Thorsten]

Tja, dass wird wohl noch so einige Nachbeben geben. BTW:

meetOne verwendet ein einzigartiges Sicherheitskonzept, umunerwünschte Kontakte innerhalb der Plattform schnell zu erkennen und auszufiltern. Hierzu gehört bspw. auch der "Certified Status", eine ausgefeilte Erkennung und Validierung von Mitgliederprofilen. So können unsere Mitglieder auf ungestörte Kommunikation und ein hohes Maß an Sicherheit vertrauen.

Hm, ...

mfG
Thorsten

 

[tomasini]

Tja, dass wird wohl noch so einige Nachbeben geben.

Ach was. Bestenfalls gibt es halt zukünftig ein sinnloses Web 2.0-Projekt weniger oder man macht einfach einen Relaunch. Strukturell wird sich nichts ändern.

 

[Marentis]

Sehe ich auch so, welche Konsequenzen soll das schon großartig haben? Apple hat es nicht gejuckt, wenn man der Heise News trauen kann.

Die Androidapp macht genau das selbe und ist auch unbehelligt im Store.

Hat jemand ein Windows Phone und kann das da prüfen?

Jedenfalls läuft es wieder auf das Übliche hinaus: Hirn einschalten, bei Google Play werden die angeforderten Berechtigungen vor der Installation angezeigt, beim iPhone weiß ich das jetzt nicht und das iPhone meiner Freundin möchte ich für so einen Test auch nicht missbrauchen. Vielleicht kann uns ja ein iPhone Nutzer aufklären?

Darum ist es wichtig, dass man als Nutzer nicht ganz unbedarft ist, denn zu Glauben das andere dafür sorgen, dass so etwas nicht vorkommt, ist mehr als naiv.

 

[Jenstheclown]

Beim Iphone wird man i.d.R. auch gefragt ob das App auf Ortungsdienste/Kontaktliste/.. zugreifen darf.

Ansonsten ist meine Antwort dazu: Trolle! :-D