Anzeige
Metanetzwerke | Mobile-Affiliate-Netzwerke | Werbenetzwerke | Affiliate-Glossar | Veranstaltungen 2017
Anzeige

20% CPO und 5% Lifetime auf Verlängerungen!
Bis zu 179,80 CHR pro Sale, dazu 5% auf Upsales und Verlängerungen - Lifetime-Umsätze mit Backup ONE!

Anzeige

Verdienen Sie bis zu 375€ pro Sale!
Auxmoney-Affiliaes verdienen 25€ pro Anfrage, 40€ pro Anleger und bis zu 375€ pro Sale eines P2P-Kredites!


Partnernetzwerke im Sicherheits-Check

Wegen meines Sicherheits-Fetisches habe ich jüngst beschlossen, mich nur noch über sichere Verbindungen (SSL/TLS) bei den Partnernetzwerken einzuloggen, bei denen ich aktiv bin. Fortan habe ich also die URLs der jeweiligen Netzwerke über eine verschlüsselte HTTP-Verbindung (HTTPS) aufgerufen. Als mein Firefox mir dann aber bei mehr als einem Login meldete, dass zwar die aktuelle Verbindung gesichert sei, die Login-Daten aber unverschlüsselt übertragen werden, wollte ich es genau wissen und habe allen größerern Partnernetzwerken mal unter die Haube geschaut.

Bei unverschlüsselten Verbindungen zu einem HTTP-Server ist es in einem LAN absolut kein Problem, die Logindaten mit einem Sniffer auszulesen. In einem ungesicherten WLAN (jede 11. WLAN-Verbindung soll unsicher sein, Stand 11/2008) können sogar wildfremde Personen innerhalb des Spots die Daten im Klartext mitlesen!

Auch wenn man sich nicht in einem LAN oder WLAN befindet, haben mit der Materie vertraute Personen mehrere Möglichkeiten, an die sensiblen Daten zu gelangen (z.B. via Man-in-the-Middle-Attacken oder DNS-Poisoning).

Wie schützen Partnernetzwerke sensible Daten ihrer Affiliates?
Dieser Test untersucht die Methoden der Datenübertragung bei der Eröffnung eines Accounts, beim Login und bei der folgenden Kommunikation mit den Partnernetzwerken:

  • Werden die Benutzerdaten bei der Eröffnung eines Accounts verschlüsselt übertragen?
  • Werden die Login-Informationen verschlüsselt übertragen?
  • Ist die Kommunikation mit dem Partnernetzwerk verschlüsselt?

Sollte eine der oben genannten Aktionen nicht automatisch verschlüsselt stattfinden, habe ich versucht, die Verschlüsselung mit einem manuellen Aufruf der jeweiligen URL (via HTTPS) zu ‘erzwingen’.

Ausschlaggebend für eine erfolgreich verschlüsselte Übertragung ist NICHT, ob die aktuelle Seite mit den Eingabeformularen verschlüsselt ist, sondern ob die vom jeweiligen Formular aufgerufene URL (action) über eine sichere Verbindung aufgerufen wird. Die Ergebnisse dieses Tests können Sie folgender Tabelle entnehmen:

verschlüsselte Anmeldung? verschlüsselter Login? verschlüsselte Kommunikation? HTTPS
24-interaktive nein* nein* nein*
adbutler nein* nein* nein*
Adcell nur manuell** nur manuell** nur manuell** sichere Verbindung herstellen
affili.net ja, automatisch nein* nur manuell**
Affiliwelt.net ja, automatisch ja, automatisch ja, automatisch
belboon nur manuell** ja, voreingestellt ja, voreingestellt sichere Verbindung herstellen
Commission Junction ja, automatisch ja, automatisch ja, automatisch
Superclix ja, automatisch ja, automatisch ja, automatisch
Tradedoubler nur manuell** nur manuell** nur manuell** sichere Verbindung herstellen
TradeTracker.de nein* nein* ja
Trocado.at nein* nein* nur manuell**
Vitrado.de ja, automatisch ja, automatisch ja, automatisch
webgains ja, automatisch nur manuell** nur manuell** sichere Verbindung herstellen
zanox ja, automatisch nur manuell** ja, automatisch sichere Verbindung herstellen

(Stand: 04.11.2008)
* eine sichere Verbindung ist nicht möglich, auch nicht bei einer manuellen Anforderung der Seite mittels HTTPS
** durch eine manuelle Anforderung der Seite mittels HTTPS kann eine sichere Verbindung verwendet werden

Nur Affiliwelt.net, Commission Junction, Superclix und Vitrado.de schützen direkt alle übertragenen Daten mittels SSL/TLS vor neugierigen Schnüfflern.

Passwörter und Passwort-Wiederherstellung
Darüber hinaus habe ich getestet, wie die einzelnen Netzwerke die Passwörter der Affiliates speichern. Dieser Test hat gleichzeitig auch die Sicherheit der Passwort-Wiederherstellung durchleuchtet. Netzwerke, die bei der Passwort-Wiederherstellung das alte Passwort im Klartext zusenden, speichern die Passwörter entweder unverschlüsselt oder es gibt eine Funktion, um die Passwörter zu entschlüsseln - beides ist sicherheitstechnisch bedenklich!

Methode der Passwort-Wiederherstellung
24-interaktive Es wird ein neues Passwort erstellt (8 Zeichen) und dem User per Email mitgeteilt
adbutler Es wird ein neues Passwort erstellt (5 Zeichen) und dem User per Email mitgeteilt
Adcell Das alte Passwort wird dem Benutzer per Email mitgeteilt!
affili.net Das alte Passwort wird dem Benutzer per Email mitgeteilt!
Affiliwelt.net Dem Benutzer wird ein neues Passwort per Email mitgeteilt. Dieses Passwort ist nur temporär gültig. Nach dem ersten Login mit diesem Passwort MUSS der User über eine sichere Verbindung ein neues Passwort vergeben. Vorher sind keine anderen Aktionen möglich
belboon Das alte Passwort wird dem Benutzer per Email mitgeteilt!
Commission Junction Es wird ein neues Passwort erstellt (7 Zeichen) und dem User per Email mitgeteilt
Superclix Das alte Passwort wird dem Benutzer per Email mitgeteilt!
Tradedoubler Der Benutzer bekommt einen Link per Email um über eine gesicherte Verbindung ein neues Passwort zu vergeben
TradeTracker.de Erstellung eines neuen Passwortes durch den Benutzer über eine ungesicherte Verbindung*
Trocado.at Das alte Passwort wird dem Benutzer per Email mitgeteilt!
Vitrado.de Erstellung eines neuen Passwortes durch den Benutzer über eine ungesicherte Verbindung*
webgains Das alte Passwort wird dem Benutzer per Email mitgeteilt!
zanox Es wird ein neues Passwort erstellt (10 Zeichen) und dem User per Email mitgeteilt

(Stand: 04.11.2008)
* eine sichere Verbindung ist nicht möglich, auch nicht bei einer manuellen Anforderung der Seite mittels HTTPS

Bei der Passwort-Wiederherstellung verfahren nur Affiliwelt.net und Tradedoubler vorbildlich! Bei Affiliwelt.net wird man zusätzlich nach einer gewissen Zeit sogar darauf aufmerksam gemacht, ein neues Passwort zu vergeben.

Fazit
Affiliwelt.net ist beim Thema ‘Sicherheit bei der Handhabung sensibler Daten in Interaktion mit dem Benutzer’ ein gänzlich sicherer und aufmerksamer Partner.
Beim alltäglichen Gebrauch (ich zähle die Passwort-Wiederherstellung nicht dazu) werden vertrauliche Daten von belboon, Commission Junction, Superclix und Vitrado.de vorbildlich behandelt.
Adcell, Tradedoubler, webgains und zanox bieten zwar technisch die Möglichkeiten, eine sichere Verbindung zu benutzen, der Benutzer muss jedoch vorher die URL manuell ändern.
24-interactive, adbutler, affilinet, TradeTracker.de und Trocado.at würden einige Benutzer sicherlich beruhigen, wenn sie beim Thema Sicherheit noch ein wenig nachbessern würden.

Tipp: Abonnieren Sie jetzt meinen RSS-Feed, und Sie werden automatisch über neue Beiträge informiert!

Schlagworte: , , , ,


Dieser Beitrag wurde vor am Dienstag, 4. November 2008 um 15:20 Uhr veröffentlicht und unter Partnernetzwerke gespeichert. Sie können Kommentare zu diesem Eintrag über den RSS-2.0-Feed verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website hierher setzen.

3 Kommentare zu „Partnernetzwerke im Sicherheits-Check“

  • Thomas Böttcher sagt:

    Hallo Herr Giani,
    ein interessanter Bericht. Es freut mich natürlich, dass wir dabei so gut abgeschnitten haben.

    Viele liebe Grüße
    Thomas Böttcher

  • André sagt:

    Lieber Günther,

    es wäre schön, wenn Du die SSL-URLs hinzufügen könntest. Immerhin genügt ja nicht immer, aus http ein https zu machen.

    LG André

  • Günther Giani sagt:

    Hi André,

    das ist vollkommen richtig, ein bloßer Aufruf via https genügt nicht unbedingt. Daher war bei dem Test ja ausschlaggebend, ob die vom jeweiligen Formular aufgerufene URL (action) über eine sichere Verbindung aufgerufen wird. Wenn das der Fall ist, werden die Daten verschlüsselt übertragen, da der Client eine neue Verbindung über das im action-Attribut angegebene Protokoll aufbaut.

    Ich werde aber noch HTTPS-Links für die Nwtzwerke ergänzen, bei denen ein manuelle Anforderung der Seite mittels HTTPS eine sichere Verbindung gewährleistet.

    LG,
    Günther

Kommentieren

Abonnieren ohne einen Kommentar abzugeben


RSS-Feed
RSS-Feeds Partnerprogramme | Wissensdatenbank | Blog