Menü
Avatar von shertz
  • shertz

mehr als 1000 Beiträge seit 30.12.2008

Hallo Heise? Merkt ihr noch irgendetwas?

Sorry aber das ist nun wirklich brutaler Bldösinn, der die Grenzen seriöser Berichterstattung sprengt:

1. TLS-Verschlüsselt ist NICHT Klartext
2. Wenn der Webserver einen Hash zur Authentifizierung akzeptiert, ist der Hash gleichwertig zum Passwort?
3. Heise überträgt gemäß ihrer eigenen Auffassung sowohl Passwörter als auch Kontodaten im Klartext
4. Heise nutzt ebenfalls kein Zertifikatspinning.
5. Heise setzt diverse Cookies (überwiegend zum Tracken) ohne dass mein Einverständnis abgefragt wurde schon beim ersten Aufruf. Da die zugehörige Einverständniserklärung überhaupt nicht eingeholt wird, ist dies nicht erst seit DGSVO-Inkrafttreten nicht gesetzeskonform(s. 2009 Cookie-Richtlinie 2009/136/EU).

Sorry aber dieser "Artikel" ist zum einen technisch stümperhaft, alleine schon weil behauptet wird, das TLS-Verschlüsslung Plaintext-Passwort übertragen entspricht und man den Sinn vom hashen nicht verstanden hat, nur um reißerisch zu klingen und zum anderen auch mit zweierlei Maß gemessen weil das eigene Angebot exakt jeden einzelnen dieser Stümpereien ebenfalls begeht. Da man bei heise (neuerdings direkt) Zahlungsdaten hinterlegen kann (und ich das auch getan habe), ist das auch kein minderschwerer Fall.

Ich überlege ernsthaft heise bei dem Landesdatenschutzbeauftragten Niedersachen zu melden, da ihre eigene Webseite nach ihrem eigenen Maßstab stümperhaft mit der IT-Sicherheit umgeht, offensichtlich wider besseren Wissens.

Das Posting wurde vom Benutzer editiert (15.04.2019 16:46).

Bewerten
- +
Anzeige