Werbung im STRATO-Kundenmenü, (k)ein Sicherheitsrisiko

Strato-Kundenmenü mit WerbungAn Werbung auf Internetseiten habe ich mich nun schon langsam gewöhnt. Einen großen Teil davon sehe ich allerdings gar nicht, denn dieser wird bereits beim meinem Router ausgesperrt.

Als Belästigung und Sicherheitsrisiko sehe ich allerdings die Werbung an, welche Strato im Kundenservice-Bereich einblendet. Im Kundenservicebereich melde ich mich mit Kundennummer und Passwort an und kann dort meine Pakete verwalten und konfigurieren. Wenn jetzt hier Strato-interne Werbung z.B. für das HiDrive eingeblendet wird, ist das noch akzeptabel. Die angezeigte Werbung (auf dem Bild die Telekom-Werbung) kommt allerdings von einem externen Anbieter, in diesem Fall von tradedoubler.com.

Das fatale daran ist, daß bei Strato die Session-Id, welche mich als angemeldeten Kunden identifiziert, per URL-Parameter mitgeführt wird. Das sieht dann etwa so aus:

/apps/CustomerService?sessionID=23b67fd695a89dfd013adc295679863e

Beim Anzeigen der Werbung landet dann diese Session-ID als Referer beim externen Werbeanbieter. Ich will nun nicht unterstellen, das dort jemand diese Informationen mißbraucht, aber es wäre technisch kein Problem, sich mit dem Referer und damit meiner Kunden-Identität an meinen Daten und Einstellungen zu schaffen zu machen.

Ich für meinen Teil habe nun zwar tradedoubler.com ausgesperrt, aber es ist schon ein Unding, wie hier Strato mit sensiblen Kundendaten umgeht und diese einfach an externe Anbieter überträgt.

Die einfache Lösung für das Problem wäre es, auf externe Werbeeinblendungen zu verzichten oder zumindest die SessionId nicht als URL-Parameter mitzuführen. Das ist um so unverständlicher, da die Id sowieso in einem Cookie gespeichert wird. Wozu dann noch als URL-Parameter?

Ich kann nur hoffen, daß sich mit der groß angekündigten neue Optik und neue Menüführung ab 1. März bei Strato auch im Bereich Werbung bzw. Session-ID etwas tut.

Nachtrag 21. Februar 2011:
Habe mal noch etwas weiter geforscht und festgestellt, daß die Werbung nicht direkt, sondern über ein IFRAME mit einer Adresse des Strato-Servers eingeblendet wird:

/assets/ksb/strato/shared/t1.html

Dadurch wird dann als Referer eben nicht die URL mit der Session-ID, sondern diese an den externen Werbeanbieter übertragen.
Insofern muß ich den Vorwurf an Strato zurücknehmen, mit den sensiblen Kundendaten wurden also nicht leichtfertig umgegangen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

 Hier kein Häkchen setzen
 Ich bin kein Spambot

Hinweis: Kommentare von bisher unbekannten Schreibern (Name und eMail) oder mit mehr als einem Link werden moderiert.