Kommentare zu: Safer Shopping von TÜV Süd in der Kritik http://netzpolitik.org/2009/safer-shopping-von-tuev-sued-in-der-kritik/ Politik in der digitalen Gesellschaft. Fri, 10 Feb 2012 12:42:41 +0000 hourly 1 Von: Daniel Orth http://netzpolitik.org/2009/safer-shopping-von-tuev-sued-in-der-kritik/#comment-397986 Daniel Orth Tue, 19 Oct 2010 13:57:30 +0000 http://www.netzpolitik.org/?p=9531#comment-397986 Am sichersten ist es natürlich wenn man zu Hause bleibt und nicht mehr am öffentlichen Leben teil nimmt. Das Leben birgt einfach zu viele Gefahren. Aber mal im Ernst: Die Zertifizierung von safershopping ist schon sehr umfangreich und deckt sowohl Verbraucherschutz, als auch Sicherheitslücken in Hardware und Programmierung voll ab. Allerdings nur zum Zeitpunkt der Zertifizierung. Wenn ein Auto vom TÜV geprüft wird, wird auch immer nur der Zustand während der Prüfung geprüft und nicht der Zustand, der innerhalb der nächsten Jahre eintreten wird. Genauso ist es beim Onlineshop: zum Zeitpunkt der Zertifikaterstellung und zum jährlichen Update der Zertifizierung passt alles. Dazwischen kann der Shopbetreiber jede Menge Sicherheitslücken einbauchen, ohne das der TÜV etwas mit bekommt. Am sichersten ist es natürlich wenn man zu Hause bleibt und nicht mehr am öffentlichen Leben teil nimmt. Das Leben birgt einfach zu viele Gefahren. Aber mal im Ernst: Die Zertifizierung von safershopping ist schon sehr umfangreich und deckt sowohl Verbraucherschutz, als auch Sicherheitslücken in Hardware und Programmierung voll ab. Allerdings nur zum Zeitpunkt der Zertifizierung. Wenn ein Auto vom TÜV geprüft wird, wird auch immer nur der Zustand während der Prüfung geprüft und nicht der Zustand, der innerhalb der nächsten Jahre eintreten wird. Genauso ist es beim Onlineshop: zum Zeitpunkt der Zertifikaterstellung und zum jährlichen Update der Zertifizierung passt alles. Dazwischen kann der Shopbetreiber jede Menge Sicherheitslücken einbauchen, ohne das der TÜV etwas mit bekommt.

]]> Von: Jahresrückblick 2009 : netzpolitik.org http://netzpolitik.org/2009/safer-shopping-von-tuev-sued-in-der-kritik/#comment-363261 Jahresrückblick 2009 : netzpolitik.org Tue, 22 Dec 2009 14:40:40 +0000 http://www.netzpolitik.org/?p=9531#comment-363261 [...] Safer Shopping von TÜV Süd in der Kritik. [...] [...] Safer Shopping von TÜV Süd in der Kritik. [...]

]]> Von: André http://netzpolitik.org/2009/safer-shopping-von-tuev-sued-in-der-kritik/#comment-353138 André Wed, 04 Nov 2009 16:20:23 +0000 http://www.netzpolitik.org/?p=9531#comment-353138 Zu Trusted Shops: Auf Kundendatensicherheit wird da im Grunde gar nich geprüft. Bei diesem Siegel gehts primär um die Rechtssicherheit des Shops und des Bestellablaufes. Da werden keine Injection-, Xss-, Whateverlücken geprüft. Der einzige Vorteil für die Kunden bei diesem Siegel ist meiner Meinung nach nur die Geld Zurückgarantie und die Prüfung des Anbieters, ob es ihn auch wirklich gibt (Prüfung Kreditwürdigkeit wg. der GZG, Registerauskunft usw.) Einfach mal nach den Anforderungs/Prüfkatalog von TS googlen, findet man sicher. Zu Trusted Shops: Auf Kundendatensicherheit wird da im Grunde gar nich geprüft. Bei diesem Siegel gehts primär um die Rechtssicherheit des Shops und des Bestellablaufes. Da werden keine Injection-, Xss-, Whateverlücken geprüft. Der einzige Vorteil für die Kunden bei diesem Siegel ist meiner Meinung nach nur die Geld Zurückgarantie und die Prüfung des Anbieters, ob es ihn auch wirklich gibt (Prüfung Kreditwürdigkeit wg. der GZG, Registerauskunft usw.)

Einfach mal nach den Anforderungs/Prüfkatalog von TS googlen, findet man sicher.

]]> Von: 0a5e http://netzpolitik.org/2009/safer-shopping-von-tuev-sued-in-der-kritik/#comment-353085 0a5e Wed, 04 Nov 2009 12:15:39 +0000 http://www.netzpolitik.org/?p=9531#comment-353085 bitte nicht schon wieder die von ose: http://tinyurl.com/yhm2c5p wirklich sehr vertrauenserweckend... und bei den angeblich geprüften referenzen sieht es leider nicht viel besser aus. "O.S.E. ist Bestandteil der xiuk eMarketing Consulting" "eMarketing" nicht security! bitte nicht schon wieder die von ose:
http://tinyurl.com/yhm2c5p

wirklich sehr vertrauenserweckend…

und bei den angeblich geprüften referenzen sieht es leider nicht viel besser aus.

“O.S.E. ist Bestandteil der xiuk eMarketing Consulting”

“eMarketing” nicht security!

]]> Von: H-Core http://netzpolitik.org/2009/safer-shopping-von-tuev-sued-in-der-kritik/#comment-353026 H-Core Wed, 04 Nov 2009 09:51:18 +0000 http://www.netzpolitik.org/?p=9531#comment-353026 Solche Zertifikate sind nichts wert, wenn es um Sicherheit einer Website geht. Selbst wenn die alle XSS-Lücken finden sollte, was ist mit den Injections,den RFIs, Human Factors? Die sind wahrscheinlich nicht mehr so wichtig ;) Wer wenigstens ansatzweise technische Sicherheit haben will, sollte sich mal bei www.ose.at melden und nachfragen, was da gemacht wird! Solche Zertifikate sind nichts wert, wenn es um Sicherheit einer Website geht.
Selbst wenn die alle XSS-Lücken finden sollte, was ist mit den Injections,den RFIs, Human Factors?
Die sind wahrscheinlich nicht mehr so wichtig ;)

Wer wenigstens ansatzweise technische Sicherheit haben will, sollte sich mal bei http://www.ose.at melden und nachfragen, was da gemacht wird!

]]> Von: W.Mensch http://netzpolitik.org/2009/safer-shopping-von-tuev-sued-in-der-kritik/#comment-353017 W.Mensch Wed, 04 Nov 2009 08:55:25 +0000 http://www.netzpolitik.org/?p=9531#comment-353017 Nicht nur das. Der TÜV-Süd hat auch dem [sarkasmus ON]"Auktions-Portal" Swoopo, welches eher mit einer Black-Box Tombola vergleichbar ist ein "Zertifikat" verpasst![Sarkasmus OFF]. Die Tüv-Leute sollten sich wirklich mal überlegen, wem sie alles ein (bezahltes) Zertifikat ausstellen. Diese Swoopo-Bude kann doch nach belieben und ohne jegliche Kontrolle die "Kunden" abzocken, dazu müssen sie nur eigene Bietagenten mitlaufen lassen, so daß der Preis, bzw. die Anzahl der Gebotslose minimal den Break-Even erreicht. DAS wurde vom TÜV-Süd natürlich nicht geprüft. Nicht nur das. Der TÜV-Süd hat auch dem [sarkasmus ON]“Auktions-Portal” Swoopo, welches eher mit einer Black-Box Tombola vergleichbar ist ein “Zertifikat” verpasst![Sarkasmus OFF].
Die Tüv-Leute sollten sich wirklich mal überlegen, wem sie alles ein (bezahltes) Zertifikat ausstellen. Diese Swoopo-Bude kann doch nach belieben und ohne jegliche Kontrolle die “Kunden” abzocken, dazu müssen sie nur eigene Bietagenten mitlaufen lassen, so daß der Preis, bzw. die Anzahl der Gebotslose minimal den Break-Even erreicht. DAS wurde vom TÜV-Süd natürlich nicht geprüft.

]]> Von: Thorben http://netzpolitik.org/2009/safer-shopping-von-tuev-sued-in-der-kritik/#comment-353015 Thorben Wed, 04 Nov 2009 08:46:48 +0000 http://www.netzpolitik.org/?p=9531#comment-353015 Ich bin immer wieder enttäuscht über die Seitenbetreiber, mit wie wenig Sorgfalt hier auf die Kundendaten geachtet wird. Mein Lieblingsbeispiel in dem Fall: Gameforge GmbH. Bei den großen Browserspielen wie OGame wird das Passwort UNVERSCHLÜSSELT mit über die URL gesendet. Ein simpler Blick in die Browserhistorie reicht um die PW zu sehen. Und das bei einem Unternehmen mit dreistelligem Millionenumsatz und mehreren Millionen Kunden weltweit :( Ich bin immer wieder enttäuscht über die Seitenbetreiber, mit wie wenig Sorgfalt hier auf die Kundendaten geachtet wird. Mein Lieblingsbeispiel in dem Fall: Gameforge GmbH. Bei den großen Browserspielen wie OGame wird das Passwort UNVERSCHLÜSSELT mit über die URL gesendet. Ein simpler Blick in die Browserhistorie reicht um die PW zu sehen. Und das bei einem Unternehmen mit dreistelligem Millionenumsatz und mehreren Millionen Kunden weltweit :(

]]> Von: jonas http://netzpolitik.org/2009/safer-shopping-von-tuev-sued-in-der-kritik/#comment-353003 jonas Wed, 04 Nov 2009 07:50:15 +0000 http://www.netzpolitik.org/?p=9531#comment-353003 @Soeren: Der Prozess ist nicht sicher, dass weiß man schon seit Jahren. Schon mal mitbekommen, dass das Menschen sind die da arbeiten und sterben? http://de.wikipedia.org/wiki/Atomunfall Die TÜV Zertifizierung hatte mir noch nie gefallen, ich achte eher auf Trusted Shops, auch wenn die sicherlich ebenfalls nicht einhundertprozentige Sicherheit bieten, so hat man ein besseres Gefühl bei diesem Zertifikat. @Soeren: Der Prozess ist nicht sicher, dass weiß man schon seit Jahren. Schon mal mitbekommen, dass das Menschen sind die da arbeiten und sterben?
http://de.wikipedia.org/wiki/Atomunfall

Die TÜV Zertifizierung hatte mir noch nie gefallen, ich achte eher auf Trusted Shops, auch wenn die sicherlich ebenfalls nicht einhundertprozentige Sicherheit bieten, so hat man ein besseres Gefühl bei diesem Zertifikat.

]]> Von: Soeren http://netzpolitik.org/2009/safer-shopping-von-tuev-sued-in-der-kritik/#comment-353001 Soeren Wed, 04 Nov 2009 07:30:29 +0000 http://www.netzpolitik.org/?p=9531#comment-353001 Wo liegt das Problem bei den Atomkraftwerken? Der Prozess ist sicher, aber um das, was am Ende durch den Prozess erzeugt wird, kuemmert sich niemand. Das ist doch schon so seid Jahren bekannt. Wo liegt das Problem bei den Atomkraftwerken?
Der Prozess ist sicher, aber um das, was am Ende durch den Prozess erzeugt wird, kuemmert sich niemand. Das ist doch schon so seid Jahren bekannt.

]]> Von: Libelle http://netzpolitik.org/2009/safer-shopping-von-tuev-sued-in-der-kritik/#comment-352989 Libelle Wed, 04 Nov 2009 06:24:36 +0000 http://www.netzpolitik.org/?p=9531#comment-352989 Wenn Du mit CC bezahlst achte auf die Zertifizierung: PCI DSS Das ist die einzig relevante Zertifizierung im Bereich Kreditkartenzahlung und wird von eine gemeinsame Organisation der Kreditkartenfirmen vergeben. https://www.pcisecuritystandards.org/ Wer sichergehen will schaut sich auf den Listen für zertifizierte Händler um. Diese findet man bei MasterCard oder VISA auf der Homepage. Das ist zwar keine Garantie, jedoch kann man bei CCs die Buchung nach 6 Wochen zurückgehen lassen und der Händler ist in der Beweispflicht, dass der CC-Owner auch wirklich die Transaktion veranlasst hat. Gruß Wenn Du mit CC bezahlst achte auf die Zertifizierung: PCI DSS
Das ist die einzig relevante Zertifizierung im Bereich Kreditkartenzahlung und wird von eine gemeinsame Organisation der Kreditkartenfirmen vergeben.
https://www.pcisecuritystandards.org/
Wer sichergehen will schaut sich auf den Listen für zertifizierte Händler um. Diese findet man bei MasterCard oder VISA auf der Homepage.
Das ist zwar keine Garantie, jedoch kann man bei CCs die Buchung nach 6 Wochen zurückgehen lassen und der Händler ist in der Beweispflicht, dass der CC-Owner auch wirklich die Transaktion veranlasst hat.

Gruß

]]> Von: meg noz http://netzpolitik.org/2009/safer-shopping-von-tuev-sued-in-der-kritik/#comment-352974 meg noz Wed, 04 Nov 2009 00:15:57 +0000 http://www.netzpolitik.org/?p=9531#comment-352974 Atomkraftwerke: sind wahrscheinlich leichter zu zertifizieren, da sie sich seltener strukturell oder im ablauf aendern. inb4 troll Atomkraftwerke: sind wahrscheinlich leichter zu zertifizieren, da sie sich seltener strukturell oder im ablauf aendern.

inb4 troll

]]>