Viren, Spyware, Datenschutz 11.254 Themen, 94.795 Beiträge

Verfolgung starten Optionen

Handelt Amazon hier fahrlässig

Manfredtiel / 25 Antworten / Baumansicht Nickles

..............oder meine schwester??
seit 10 Jahren kauft meine Schwester bei amazon ein. Vor zwei Tagen ist mir an ihrem Pc aufgefallen, dass sie angemeldet ist. sie kennt sich mit Pcs nicht die bohne aus. Sie sagt, sie geht halt auf die Seite von amazon und bestellt. sie hat sich seit 10 Jahren noch nie an oder abgemeldet mit einem Passwort. Das heißt: Seit 10 Jahren ist sie ständig angemeldet undd hat sich niemals abgemeldet. Einfach nur bestellt.
Amazon hält es nicht für nötig, sie drauf hinzuweisen.
Also in einem cookie kann die Sitzungs-ID nicht gespeichert sein, denn ihr PC hatt gewechselt während der 10 Jahre.
Die Sitzungs-ID muss wohl mit der URL übertragen werden.
Sie hat mächtig Glück gehabt bisher, meine ich. Ihr Konto hätte leer sein können.

Was sagt Ihr zu der Geschichte.

bei Antwort benachrichtigen
swiftgoon Manfredtiel „Handelt Amazon hier fahrlässig“
Optionen

Der Login bei Amazon funktioniert wie bei tausenden
anderen Webshops auch.
Mein Name wird auch angezeigt, wenn ich auf die Amazon
Startseite gehe. Das läuft über Cookies.
Erst wenn ich auf mein Konto zugreifen oder
einen Einkauf abschließen will muss ich mein Passwort eingeben.

Wenn das Passwort beim Login nicht eingegeben
werden muss, dann ist es wohl vom Browser verwaltet.
Einloggen muss man sich aber trotzdem noch.
Möglich wäre, dass Sie die 1-Click Option aktiviert hat.
Wie es sich dort mit dem Login verhält weiß ich nicht.
Diese Option kann man aber deaktivieren.

swift

bei Antwort benachrichtigen
shrek3 Manfredtiel „Handelt Amazon hier fahrlässig“
Optionen

Sowohl unter XP, Windows 7 und Windows 8 musste ich mich immer bei Amazon einloggen - automatisch eingeloggt war ich nie.

Es gibt aber bei Amazon beim Einloggen eine Option "Angemeldet bleiben".



Geht man dort auf "Details", erhält man diese Informationen:
https://www.amazon.de/gp/help/customer/display.html/?nodeId=200965390&pop-up=1

Gruß
Shrek3
Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
gelöscht_238890 shrek3 „Sowohl unter XP, Windows 7 und Windows 8 musste ich mich ...“
Optionen
automatisch eingeloggt war ich nie. Es gibt aber bei Amazon beim Einloggen eine Option "Angemeldet bleiben".

Genau so ist es und es ist ja so auch saubequem, weshalb immer dieses blöde An- und Abmelden.Zwinkernd

Wer also so verfährt und die simpelsten Sicherheitsvorkehrungen missachtet, ja der hat Glück gehabt.
bei Antwort benachrichtigen
shrek3 gelöscht_238890 „Genau so ist es und es ist ja so auch saubequem, weshalb ...“
Optionen
Genau so ist es und es ist ja so auch saubequem, weshalb immer dieses blöde An- und Abmelden.

Wieso abmelden..?
Da wird (ohne sich abzumelden) ganz einfach nur der Browser geschlossen... :-))

Gruß
Shrek3
Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
mawe2 gelöscht_238890 „Genau so ist es und es ist ja so auch saubequem, weshalb ...“
Optionen

Aber auch bei der Nutzung der Option "Angemeldet bleiben" muss man sich spätestens nach 2 Wochen erneut anmelden. Dass jemand 10 Jahre permanent angemeldet ist und sich nie wieder neu anmelden musste, ist unmöglich.

bei Antwort benachrichtigen
gelöscht_238890 mawe2 „Aber auch bei der Nutzung der Option Angemeldet bleiben muss ...“
Optionen
muss man sich spätestens nach 2 Wochen erneut anmelden.

Da bin ich jetzt skeptisch, ob das so stimmt.
Es ist mir selber schon passiert, dass ich mich bei amazon  anscheinend nicht aus geloggt habe. Es ist mir nach einiger Zeit, ich kann nicht sagen wie lange, aufgefallen als ich bei amazon etwas suchen wollte und ich sofort "persönlich" begrüßt wurde.
Seither ist ausloggen/abmelden zum Ritual geworden.
bei Antwort benachrichtigen
mawe2 gelöscht_238890 „Da bin ich jetzt skeptisch, ob das so stimmt. Es ist mir ...“
Optionen
aufgefallen als ich bei amazon etwas suchen wollte und ich sofort "persönlich" begrüßt wurde.

Das ist völlig normal. Der Benutzer wird (wenn er sich nicht explizit ausloggt) immer wieder als solcher erkannt (und auch begrüßt).

Ein Bestellvorgang oder andere "datensensible Aktionen" erfordern aber auf alle Fälle eine erneute Legitimation. (Der Link von shrek3 gibt ebenfalls Auskunft dazu.)

Ausloggen muss man sich nur, wenn man bestimmte Suchvorgänge anonym machen will, ohne dass Amazon später genau zu diesen Artikeln Vorschläge unterbreitet. Oder wenn man eben anderweitig von Amazon "nicht verfolgt" werden will.

Gruß, mawe2
bei Antwort benachrichtigen
Olaf19 mawe2 „Aber auch bei der Nutzung der Option Angemeldet bleiben muss ...“
Optionen
muss man sich spätestens nach 2 Wochen erneut anmelden. Dass jemand 10 Jahre permanent angemeldet ist und sich nie wieder neu anmelden musste, ist unmöglich.

Ganz klares Ja. Ich könnte jetzt nicht beschwören, ob man von Amazon nach 2 Wochen von seinem Login befreit wird, aber irgendwann muss man sich neu einloggen.

Ebay ist da wesentlich strikter: alle 24 Stunden neu einloggen, und dann noch einmal extra einloggen, wenn man etwas verkaufen will.

Manfred: "Ihr Konto hätte leer sein können" ist abwegig. Man kontrolliert doch seine Kontoauszüge mehr oder weniger regelmäßig. Da fällt es sofort auf, wenn irgendjemand Fremdes damit bei Amazon einkaufen geht.

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
mawe2 Manfredtiel „Handelt Amazon hier fahrlässig“
Optionen
sie kennt sich mit Pcs nicht die bohne aus.

Das allein wäre für mich schon ein Grund, an der Aussage

Seit 10 Jahren ist sie ständig angemeldet undd hat sich niemals abgemeldet. Einfach nur bestellt.

zu zweifeln!

Vor allem, wenn jemand sich nach 10 Jahren (!!!) immer noch nicht "die bohne" auskennt!

Sie hat mächtig Glück gehabt bisher, meine ich. Ihr Konto hätte leer sein können.

Wie meinst du das? Amazon ist doch ein Shop und keine Bank!

Oder behauptet sie von ihrem Onlinebanking-Zugang das Gleiche ("ständig angemeldet und niemals abgemeldet") wie von ihrem Amazon-Zugang???

Ich halte die Geschichte für nicht den Tatsachen entsprechend!

Gruß, mawe2
bei Antwort benachrichtigen
Andreas42 Manfredtiel „Handelt Amazon hier fahrlässig“
Optionen

Hi!

Soweit ich das hier unter FF23 auf meinem Linux Mint 13 Xfce Rechner nachvollziehen kann, benötigt Amazon keine Sitzungs-ID in der URL. Da wird bei mir nichts angezeigt, was nach einer ID aussieht.

Trotzdem bin ich über mein normales Cookie eingeloggt und kann z.B. meine Bestellungen einsehen. Bei tieferen Änderungen muss ich allerdings mein Passwort eingeben. Ich glaube auch, dass neue Bestellungen in der Tat ohne Passwort durchlaufen.

So ganz kann ich der Erzählung trotzdem nicht aus eigener Erfahrung folgen. Wenn man den Firefox nutzt und den Login-Namen und das Passwort im Firefox für Amazon.de gespeichert hat, dann kann man diese Daten durchaus bei einem Rechnerumzug mitnehmen, indem man das Profilverzeichnis kopiert. das habe ich selbst schon mehrfach gemacht. das wäre die einzige Idee, die ich hätte, wie es gehen könnte seit 10 Jahren ohne Anmeldung bei Amazon zu bestellen.

Nur ist das nichts, was Laien am Rechner machen. (Das Profilverzeichnis des Browsers zu kopieren; ob das mit anderen Browsern geht, weiß ich erst gar nicht.)

Das Speichern der Formulardaten (hier Name und Passwort) im Browser ist etwas, was der Seitenbetreiber nicht mitbekommt. Amazon hätte da gar keine Chance das zu erkennen, weil beide Eingaben scheinbar aus den vorgesehenen Eingabefeldern der Loginseite kommt. Bei einzelnen Foren nutze ich das auch schon seit Jahren (bei Nickles.de merkwürdigerweise nicht).

Bis dann
Andreas

Hier steht was ueber mein altes Hard- und Softwaregedoens.
bei Antwort benachrichtigen
mawe2 Andreas42 „Hi Soweit ich das hier unter FF23 auf meinem Linux Mint 13 ...“
Optionen
Ich glaube auch, dass neue Bestellungen in der Tat ohne Passwort durchlaufen.

Nein. Ich werde bei jeder Bestellung erneut nach dem Passwort gefragt. Wer das Passwort von seinem Browser verwalten lässt, kriegt davon natürlich nichts mit. Eine Passwortabfrage ist das aber dann trotzdem.

Gruß, mawe2
bei Antwort benachrichtigen
Andreas42 mawe2 „Nein. Ich werde bei jeder Bestellung erneut nach dem ...“
Optionen

Hi!

Ich muss mir das demnächst mal genauer ansehen. Die Kindlebücher gehen AFAIK als 1Click-Bestellung ohne Passwortabfrage raus. Ich teste das gerade mal mit einem 0€ Buch...

OK, die gehen direkt durch (ohne Passwortabfrage). Bei anderen Artikeln, will ich das jetzt nicht testen. Zwinkernd

Bis dann
Andreas

PS: Falls jemand mal mittesten will: http://www.amazon.de/gp/product/B00AIRPMN0

Hier steht was ueber mein altes Hard- und Softwaregedoens.
bei Antwort benachrichtigen
mawe2 Andreas42 „Hi Ich muss mir das demnächst mal genauer ansehen. Die ...“
Optionen
Die Kindlebücher gehen AFAIK als 1Click-Bestellung ohne Passwortabfrage raus.

1Click-Bestellung nutze ich nicht. Aber auch dort muss man sich explizit einloggen:


Und bei 1Click muss man ja vorher Lieferadresse und Bezahlart festlegen. Sollte 1Click tasächlich ohne Passwort durchlaufen, wäre das auch kein (großes) Problem, da der unberechtigte Benutzer ja höchstens eine Lieferung an meine vorher definierte Adresse auslösen kann, nicht aber an seine eigene Adresse. Diebstahl und fremde Bereicherung sind also auch hier ausgeschlossen.

Gruß, mawe2
bei Antwort benachrichtigen
mawe2 Andreas42 „Hi Ich muss mir das demnächst mal genauer ansehen. Die ...“
Optionen
OK, die gehen direkt durch (ohne Passwortabfrage). Bei anderen Artikeln, will ich das jetzt nicht testen.

Da wäre jetzt die Frage, ob bei Beträgen > 0 EUR dann nicht evtl. doch ein Passwort gebraucht wird.

Beträgt der Preis 0 EUR, wäre der Schaden bei einem Missbrauch ja auch noch im erträglichen Rahmen. :-)
bei Antwort benachrichtigen
Manfredtiel mawe2 „Da wäre jetzt die Frage, ob bei Beträgen 0 EUR dann nicht ...“
Optionen

Soviel ich weiß, kann man die Session-ID in einem Cookie oder in der URL (in Parametern) oder im Body einer Get oder Post-anfrage senden und der Browser muss wissen, ob man angemeldet ist oder nicht. Also muss der server die Session-id irgendwie Speichern. In einem Cookie ist nicht. Also muss der Server die gespeicherte id jedesmal schicken, wenn man amazon aufruft. Wenn diese id dann abgefangen wird vom Hacker, kann der das konto leerkaufen.

Meine schwester sagt,dass sie sich noch nie mit Passwort angemeldet hat und doch wurde sie immer persönlich angesprochen und konnte bestellen. Ich muss das halt so glauben, denn sie weiß nix von PCs und bestellt halt einfach. Bisher hats geklappt; sagt sie. auch über mehrere neue Pcs hinweg.

Wie erkennt dann amazon meine Schwester?? geht doch gar nicht ohne cookies?

bei Antwort benachrichtigen
groggyman Manfredtiel „Soviel ich weiß, kann man die Session-ID in einem Cookie ...“
Optionen

Hallo

Da ich Amazon auch regelmäßig nutze und die Anmeldung automatisch funktioniert, finde ich die Sache praktisch. Ich muss aber dazu sagen, ich sehe jeden Tag meine Mails durch und ich bekomme bei jeder Bestellung und weiterer Bewegung eine Mail. Mir würde also sofort auffallen, wenn ein Artikel auftaucht, der nicht von mir bestellt wurde und stornieren.

Wenn ich aber meine Cookies lösche, was jede Woche passiert, darf ich hinterher wieder alles neu eingeben, da ist dann vorbei mit Automatik.

bei Antwort benachrichtigen
gelöscht_238890 Manfredtiel „Soviel ich weiß, kann man die Session-ID in einem Cookie ...“
Optionen
Meine schwester sagt,dass sie sich noch nie mit Passwort angemeldet hat und doch wurde sie immer persönlich angesprochen und konnte bestellen. Ich muss das halt so glauben,

Natürlich musst Du, als guter Bruder, ihr das glauben. Aber wir doch nicht!
Vielleicht ist sie ja auch nur etwas vergesslich?
bei Antwort benachrichtigen
shrek3 Manfredtiel „Soviel ich weiß, kann man die Session-ID in einem Cookie ...“
Optionen
Meine schwester sagt,dass sie sich noch nie mit Passwort angemeldet hat und doch wurde sie immer persönlich angesprochen und konnte bestellen. Ich muss das halt so glauben, denn sie weiß nix von PCs und bestellt halt einfach.

Nicht glauben, sondern erst mal nur zur Kenntnis nehmen und überprüfen.

Ich würde mich neben ihr setzen und einfach nur zuschauen, wie sie Amazon aufruft und (vor allem!!!) wie sie wieder aus Amazon herausgeht. Meldet sie sich ab? Weiß sie, wo sie dazu klicken muss?

Gerade sehr unbedarfte User nehmen Dinge am PC nur in Fragmenten wahr.

Gruß
Shrek3
Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Waldschrat_70 Andreas42 „Hi Soweit ich das hier unter FF23 auf meinem Linux Mint 13 ...“
Optionen
Trotzdem bin ich über mein normales Cookie eingeloggt und kann z.B. meine Bestellungen einsehen.
Das habe ich noch nicht erlebt, ich habe es eben noch mal ausprobiert, ohne Anmelden geht nix. Allerdings werden mir ohne Anmelden von die Produkte angezeigt, die ich mir mal angesehen habe, das geht wahrscheinlich über Cookies. Anmelden muß ich mich immer, wenn ich etwas von meinem Konto sehen will. Ob Ebay, Amazon oder sonstige Anbieter logge ich mich grundsätzlich ein und aus. Es gibt allerdings auch Foren bei denen man angemeldet bleibt auch wenn man die Seite verlassen hat.

Gruß
Jürgen
einem computer für seine leistung zu bewundern ist genauso als würde man einem bügeleisen beifall klatschen wenn es warm wird
bei Antwort benachrichtigen
Andreas42 Waldschrat_70 „Das habe ich noch nicht erlebt, ich habe es eben noch mal ...“
Optionen

Hi!

Das das über ein Cookie läuft ist auch nur eine vermutung von mir. ich logge mich bei Amazon nicht aus, sondern beende einfach den Browser.
Aber das "einfach so" Angemeldet sein, scheint auch nicht beliebig lang zu funktionieren. gestern musste ich mich dann auch wieder anmelden.

Bis dann
Andreas

Hier steht was ueber mein altes Hard- und Softwaregedoens.
bei Antwort benachrichtigen
Olaf19 Manfredtiel „Handelt Amazon hier fahrlässig“
Optionen
Die Sitzungs-ID muss wohl mit der URL übertragen werden.

Warum tippt deine Schwester nicht einfach amazon.de ein? Damit geht sie ganz sicher, dass die URL nicht in irgendeiner Form manipuliert ist und Informationen transportiert, die sich nicht weiter geben möchte.

Beim Firefox brauche ich nur den Buchstaben "a" einzugeben, schon wird mir "amazon.de" als URL angeboten. Bequemer geht's nicht.

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
the_mic Manfredtiel „Handelt Amazon hier fahrlässig“
Optionen

Ich bestelle viel und regelmässig bei Amazon. Vor Abgabe der definitiven Bestellung muss ich aber immer noch das Passwort eingeben. Selbst wenn ich vor der Bestellung nicht angemeldet war, bleibe ich nach der Bestellung angemeldet. Ohne erneute Passworteingabe kann ich aber nicht nochmals bestellen.
Bist du ganz sicher, dass deine Schwester wirklich nie ein Passwort eingeben musste?

Die Sitzung läuft aber nie ab. Macht auch Sinn, Amazon möchte schliesslich wissen, was ihre Kunden suchen und anklicken.
Die Sitzungs-ID wird nicht per URL übertragen. Das wäre ein grobfahrlässiger Fehler, den sich Amazon erstens gar nicht leisten kann und der zweitens schon lange aufgeflogen und in allen IT-Portalen breitgetreten worden wäre. Wenn ich ein Amazon-Produkt in Browser A öffne (hier bin ich angemeldet) und dessen URL in Browser B übertrage, bin ich in B nicht angemeldet.

cat /dev/brain > /dev/null
bei Antwort benachrichtigen
Manfredtiel the_mic „Ich bestelle viel und regelmässig bei Amazon. Vor Abgabe ...“
Optionen

Nun, jetzt wirds schwierig, das nochmals bei meiner Schwester nachzuvollziehen, denn ich habe ein neues Passwort vergeben und ihr gezeigt, wo sie sich ab und anmelden kann. aber ich frage sie noch mal. sie soll mal eine bestellung bis kurz vor "Kaufen" machen. Dann werde ichs ja sehen.
aber kann schon sein: Unbedarfte anwender können sich nicht so genau dran erinnern, was sie gemacht haben.

bei Antwort benachrichtigen
Manfredtiel Nachtrag zu: „Nun, jetzt wirds schwierig, das nochmals bei meiner ...“
Optionen

Ich habe amazon angeschrieben.
Antwort:
--------------------------------
herzlichen Dank für Ihre freundliche Nachricht an Amazon.de.

Gern habe ich für Sie recherchiert und konnte feststellen, dass Ihre Schwester
eventuell in Ihrem Browser ein Master-Passwort eingestellt hat,
welches für alle Logins genutzt werden kann.

Ansonsten wäre es nicht möglich, durch einen Computerwechsel ohne Login auf
unserer Seite zu bestellen.

Wobei wir das Passwort im Bestellvorgang auch abfragen, wenn man bereits
eingeloggt ist. Dies dient Ihrer eigenen Sicherheit.

-------------------------------

Auch habt Ihr recht gehabt:
Nach nochmaligem Nachfragen sagt meine Schwester: vielleicht wars so, vielleicht auch anders

Auf deutsch: Sie weiß nicht mehr, ob sie dass Passwort eingegeben hat oder nicht.
auf jedenfall hatt sie jetzt ein neues Passwort. Mehr kann ich jetzt auch nicht mehr nachvollziehen.
Fall erledigt.

bei Antwort benachrichtigen
Olaf19 Manfredtiel „Ich habe amazon angeschrieben. Antwort: ...“
Optionen
Gern habe ich für Sie recherchiert und konnte feststellen, dass Ihre Schwester eventuell in Ihrem Browser ein Master-Passwort eingestellt hat, welches für alle Logins genutzt werden kann.

???

Mein Firefox erklärt mir den Begriff Master-Passwort so: Das Master-Passwort wird verwendet, um Ihre sensiblen Daten (z.B. Passwörter) zu schützen. Wenn Sie ein Master-Passwort festlegen, werden Sie einmal pro Sitzung danach gefragt, sobald Firefox auf die geschützten Daten zugreifen muss.

Sinn und Zweck eines Masterpasswortes ist also, für mehr Sicherheit zu sorgen und nicht, diese auszuhebeln. D.h. wenn man bei diversen Diensten dauerhaft eingeloggt ist, also keine Passwörter mehr eingeben muss, dann sorgt das Master-Passwort dafür, dass man wenigstens einmal ein Passwort pro Sitzung für alle Dienste zusammen eingeben muss. Das reicht ja schon, um einen Unbefugten wenigstens vorläufig auszusperren.

Wenn das Browserprofil mit allen gespeicherten Passwörtern von Computer zu Computer immer weiter kopiert wird, über 10 Jahre hinweg, dann sind die Passwörter eben immer noch da, egal ob man ein Masterpasswort benutzt oder nicht.

In jedem Fall, wie schon weiter oben erwähnt, hat jede Sitzung eine Zeitsperre, nach deren Ablauf man sozusagen "zwangs-ausgeloggt" wird - bei ebay etwas schärfer, bei Amazon etwas lascher. Daran kann ein Masterpasswort auch nichts ändern, insofern finde ich diesen Erklärungsansatz etwas merkwürdig. Oder der Kundendienstler hat etwas völlig anderes gemeint, und ich habe es nur in den falschen Hals bekommen.

CU
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen