Bei meiner Anmeldung bei car2go lief erstmal alles glatt. Die Registrierung ging schnell, der Führerschein war schnell verifiziert, so dass es nun schnell losgehen konnte.
Komisch: Die car2go-App wollte mein Kennwort nicht akzeptieren. Ich generiere meine Kennwörter mit Hilfe eines Browser-Plugins, welches bisher einwandfrei funktionierte. Auf mehreren PCs funktionierte das Login bei car2go mit diesem generierten Kennwort, nur in der Android-App wollte es nicht. Das machte mich neugierig und ich fing an zu forschen.
Im Firebug sieht man, dass nach Abschicken der Loginmaske ein POST-Request zu
https://www.car2go.com/cuba/customer/login/own/status/jsecuritycheck
geschickt wird. Dieser enthielt als j_password den Inhalt "ABCDEFGHIJK". Das kann doch nicht mein Kennwort sein? Schnell geprüft: Das Plugin generiert ein völlig anderes Kennwort. Und jetzt hab ich einfach mal "ABCDEFGHIJK" als Kennwort händisch benutzt und... es funktionierte! Das kann doch wohl nicht wahr sein.
Die Ursache ist vermutlich wie folgt: Das Plugin sperrt den Zugriff auf das Input-Feld mit dem Kennwort, jedoch versucht ein Javascript von car2go, das Kennwort zu lesen und nimmt dann als Fallback für den ersten Buchstaben "A", für den 2. "B" und so weiter. Die Anzahl der Buchstaben entsprach auch der Länge meines "echten" Kennwortes.
Wer sich also per Hashverfahren ein sicheres Kennwort generiert, speichert bei car2go unwissentlich ein ziemlich unsicheres auf dem Server ab. Das ist eine Sicherheitslücke und zeigt wieder mal, dass es Anwendungen grundsätzlich untersagt sein sollte, per Javascript auf Input-Felder vom Typ "password" zuzugreifen. Wird Zeit, dass die Browserhersteller hier einen Riegel vorschieben.