eBay

In der SSL/TLS-Verschlüsselung von https://signin.ebay.de ist ein Bug enthalten, der bereits seit 2009 (!) bekannt ist. Er ist bekannt unter dem Namen SSL Secure Renegotiation. Er ermöglicht einen "Man in the middle"-Angriff mit Ausspähen von Paßwörtern, Veränderung der übermittelten Inhalte usw. 

Ich verwende Firefox mit einer Einstellung, die Verbindungen zu Webseiten mit dieser Sicherheitslücke verhindert. Ich bin erstaunt, daß ebay dazugehört. Ich bekomme die Fehlermeldung:

Fehler: Gesicherte Verbindung fehlgeschlagen

Ein Fehler ist während einer Verbindung mit signin.ebay.de aufgetreten. Gegenstelle hat Handshake im alten Stil versucht (angriffsgefährdet). (Fehlercode: ssl_error_unsafe_negotiation)

Die aufgerufene Seite kann nicht authentifiziert werden, da die Daten nicht verifiziert werden können.
Bitte kontaktieren Sie den Administrator der Webseite und senden Sie einen Problem Report.

 In neueren Versionen der SSL/TLS-Software ist dieser Bug behoben. ebay scheint aber noch immer eine sehr alte Version zu verwenden. Immerhin ist der Bug bereits seit 2009  bekannt!

Auf dieser Seite kann ein Sicherheits-Test von https://sigin.ebay.de (oder jeder anderen verschlüsselten Webseite) durchgeführt werden.

Um diesen Beitrag zu schreiben, mußte ich einen Standard-Firefox  mit niedrierem Sicherheitslevel verwenden, da ich mich bei Beschränkung auf Webseiten ohne diese Sicherheitslücke nicht mehr bei ebay anmelden kann.

Ich hoffe sehr, daß ebay sich in nicht allzu ferner Zeit dazu entschließen kann, seine Sicherheitssoftware auf einen aktuellen und zeitgemäßen Stand zu bringen.