Partnernetzwerke im Sicherheits-Check
Wegen meines Sicherheits-Fetisches habe ich jüngst beschlossen, mich nur noch über sichere Verbindungen (SSL/TLS) bei den Partnernetzwerken einzuloggen, bei denen ich aktiv bin. Fortan habe ich also die URLs der jeweiligen Netzwerke über eine verschlüsselte HTTP-Verbindung (HTTPS) aufgerufen. Als mein Firefox mir dann aber bei mehr als einem Login meldete, dass zwar die aktuelle Verbindung gesichert sei, die Login-Daten aber unverschlüsselt übertragen werden, wollte ich es genau wissen und habe allen größerern Partnernetzwerken mal unter die Haube geschaut.
Bei unverschlüsselten Verbindungen zu einem HTTP-Server ist es in einem LAN absolut kein Problem, die Logindaten mit einem Sniffer auszulesen. In einem ungesicherten WLAN (jede 11. WLAN-Verbindung soll unsicher sein!) können sogar wildfremde Personen innerhalb des Spots die Daten im Klartext mitlesen!
Auch wenn man sich nicht in einem LAN oder WLAN befindet, haben mit der Materie vertraute Personen mehrere Möglichkeiten, an die sensiblen Daten zu gelangen (z.B. via Man-in-the-Middle-Attacken oder DNS-Poisoning).
Wie schützen Partnernetzwerke sensible Daten ihrer Affiliates?
Dieser Test untersucht die Methoden der Datenübertragung bei der Eröffnung eines Accounts, beim Login und bei der folgenden Kommunikation mit den Partnernetzwerken:
- Werden die Benutzerdaten bei der Eröffnung eines Accounts verschlüsselt übertragen?
- Werden die Login-Informationen verschlüsselt übertragen?
- Ist die Kommunikation mit dem Partnernetzwerk verschlüsselt?
Sollte eine der oben genannten Aktionen nicht automatisch verschlüsselt stattfinden, habe ich versucht, die Verschlüsselung mit einem manuellen Aufruf der jeweiligen URL (via HTTPS) zu ‘erzwingen’.
Ausschlaggebend für eine erfolgreich verschlüsselte Übertragung ist NICHT, ob die aktuelle Seite mit den Eingabeformularen verschlüsselt ist, sondern ob die vom jeweiligen Formular aufgerufene URL (action) über eine sichere Verbindung aufgerufen wird. Die Ergebnisse dieses Tests können Sie folgender Tabelle entnehmen:
| verschlüsselte Anmeldung? | verschlüsselter Login? | verschlüsselte Kommunikation? | HTTPS | |
| 24-interaktive | nein* | nein* | nein* | |
| adbutler | nein* | nein* | nein* | |
| Adcell | nur manuell** | nur manuell** | nur manuell** |  |
| affili.net | ja, automatisch | nein* | nur manuell** | |
| Affiliwelt.net | ja, automatisch | ja, automatisch | ja, automatisch | |
| belboon | nur manuell** | ja, voreingestellt | ja, voreingestellt | |
| Commission Junction | ja, automatisch | ja, automatisch | ja, automatisch | |
| Superclix | ja, automatisch | ja, automatisch | ja, automatisch | |
| Tradedoubler | nur manuell** | nur manuell** | nur manuell** | |
| TradeTracker.de | nein* | nein* | ja | |
| Trocado.at | nein* | nein* | nur manuell** | |
| Vitrado.de | ja, automatisch | ja, automatisch | ja, automatisch | |
| webgains | ja, automatisch | nur manuell** | nur manuell** | |
| zanox | ja, automatisch | nur manuell** | ja, automatisch | |
(Stand: 04.11.2008)
* eine sichere Verbindung ist nicht möglich, auch nicht bei einer manuellen Anforderung der Seite mittels HTTPS
** durch eine manuelle Anforderung der Seite mittels HTTPS kann eine sichere Verbindung verwendet werden
Nur Affiliwelt.net, Commission Junction, Superclix und Vitrado.de schützen direkt alle übertragenen Daten mittels SSL/TLS vor neugierigen Schnüfflern.
Passwörter und Passwort-Wiederherstellung
Darüber hinaus habe ich getestet, wie die einzelnen Netzwerke die Passwörter der Affiliates speichern. Dieser Test hat gleichzeitig auch die Sicherheit der Passwort-Wiederherstellung durchleuchtet. Netzwerke, die bei der Passwort-Wiederherstellung das alte Passwort im Klartext zusenden, speichern die Passwörter entweder unverschlüsselt oder es gibt eine Funktion, um die Passwörter zu entschlüsseln - beides ist sicherheitstechnisch bedenklich!
| Methode der Passwort-Wiederherstellung | |
| 24-interaktive | Es wird ein neues Passwort erstellt (8 Zeichen) und dem User per Email mitgeteilt |
| adbutler | Es wird ein neues Passwort erstellt (5 Zeichen) und dem User per Email mitgeteilt |
| Adcell | Das alte Passwort wird dem Benutzer per Email mitgeteilt! |
| affili.net | Das alte Passwort wird dem Benutzer per Email mitgeteilt! |
| Affiliwelt.net | Dem Benutzer wird ein neues Passwort per Email mitgeteilt. Dieses Passwort ist nur temporär gültig. Nach dem ersten Login mit diesem Passwort MUSS der User über eine sichere Verbindung ein neues Passwort vergeben. Vorher sind keine anderen Aktionen möglich |
| belboon | Das alte Passwort wird dem Benutzer per Email mitgeteilt! |
| Commission Junction | Es wird ein neues Passwort erstellt (7 Zeichen) und dem User per Email mitgeteilt |
| Superclix | Das alte Passwort wird dem Benutzer per Email mitgeteilt! |
| Tradedoubler | Der Benutzer bekommt einen Link per Email um über eine gesicherte Verbindung ein neues Passwort zu vergeben |
| TradeTracker.de | Erstellung eines neuen Passwortes durch den Benutzer über eine ungesicherte Verbindung* |
| Trocado.at | Das alte Passwort wird dem Benutzer per Email mitgeteilt! |
| Vitrado.de | Erstellung eines neuen Passwortes durch den Benutzer über eine ungesicherte Verbindung* |
| webgains | Das alte Passwort wird dem Benutzer per Email mitgeteilt! |
| zanox | Es wird ein neues Passwort erstellt (10 Zeichen) und dem User per Email mitgeteilt |
(Stand: 04.11.2008)
* eine sichere Verbindung ist nicht möglich, auch nicht bei einer manuellen Anforderung der Seite mittels HTTPS
Bei der Passwort-Wiederherstellung verfahren nur Affiliwelt.net und Tradedoubler vorbildlich! Bei Affiliwelt.net wird man zusätzlich nach einer gewissen Zeit sogar darauf aufmerksam gemacht, ein neues Passwort zu vergeben.
Fazit
Affiliwelt.net ist beim Thema ‘Sicherheit bei der Handhabung sensibler Daten in Interaktion mit dem Benutzer’ ein gänzlich sicherer und aufmerksamer Partner.
Beim alltäglichen Gebrauch (ich zähle die Passwort-Wiederherstellung nicht dazu) werden vertrauliche Daten von belboon, Commission Junction, Superclix und Vitrado.de vorbildlich behandelt.
Adcell, Tradedoubler, webgains und zanox bieten zwar technisch die Möglichkeiten, eine sichere Verbindung zu benutzen, der Benutzer muss jedoch vorher die URL manuell ändern.
24-interactive, adbutler, affilinet, TradeTracker.de und Trocado.at würden einige Benutzer sicherlich beruhigen, wenn sie beim Thema Sicherheit noch ein wenig nachbessern würden.
Schlagworte: https, Partnernetzwerke, passwort, sicherheit, verschlüsselung
Dieser Beitrag wurde vor am Dienstag, 4. November 2008 um 15:20 Uhr veröffentlicht und unter Partnernetzwerke gespeichert. Sie können Kommentare zu diesem Eintrag über den RSS-2.0-Feed verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website hierher setzen.
4. November 2008 um 21:50 Uhr
Hallo Herr Giani,
ein interessanter Bericht. Es freut mich natürlich, dass wir dabei so gut abgeschnitten haben.
Viele liebe Grüße
Thomas Böttcher
19. November 2008 um 12:50 Uhr
Lieber Günther,
es wäre schön, wenn Du die SSL-URLs hinzufügen könntest. Immerhin genügt ja nicht immer, aus http ein https zu machen.
LG André
19. November 2008 um 13:11 Uhr
Hi André,
das ist vollkommen richtig, ein bloßer Aufruf via https genügt nicht unbedingt. Daher war bei dem Test ja ausschlaggebend, ob die vom jeweiligen Formular aufgerufene URL (action) über eine sichere Verbindung aufgerufen wird. Wenn das der Fall ist, werden die Daten verschlüsselt übertragen, da der Client eine neue Verbindung über das im action-Attribut angegebene Protokoll aufbaut.
Ich werde aber noch HTTPS-Links für die Nwtzwerke ergänzen, bei denen ein manuelle Anforderung der Seite mittels HTTPS eine sichere Verbindung gewährleistet.
LG,
Günther