Tradercommunity Clickoptions Forum

[stealth]

Hallo CO-Trader,
viele von Euch präsentieren hier regelmäßig ihre trades und verwenden dazu screen shots ihrer Portfolio-Ansicht.

Wenn dabei die Geschäftsnummer angezeigt wird, kann man mit wenig Grips 'rauskriegen, wieviele Stücke des entsprechenden Produkts gehandelt wurden. Das wollen jedoch die meisten nicht wirklich preisgeben, wie man an den Schwärzungen gut erkennen kann.

Mehr noch: Mit nur ein ganz klein wenig mehr Grips gelangt man zB. in das Verkaufsmenü für das entsprechende Geschäft und braucht praktisch nur noch das Passwort des users um einen Verkauf auszulösen...zu Gunsten welchen Kontos weiß ich natürlich nicht, weil ich kein wirklicher Hacker bin. Fakt ist jedoch, dass man damit schon einen Schritt weiter ist, als Null...man hat nämlich schon die Login-Namen-Abfrage übersprungen...

Fixing: Lasst in Euren ScreenShots die Geschäftsnummer weg!!

[Madmario]

Hallo CO-Trader,
viele von Euch präsentieren hier regelmäßig ihre trades und verwenden dazu screen shots ihrer Portfolio-Ansicht.

Wenn dabei die Geschäftsnummer angezeigt wird, kann man mit wenig Grips 'rauskriegen, wieviele Stücke des entsprechenden Produkts gehandelt wurden. Das wollen jedoch die meisten nicht wirklich preisgeben, wie man an den Schwärzungen gut erkennen kann.

Mehr noch: Mit nur ein ganz klein wenig mehr Grips gelangt man zB. in das Verkaufsmenü für das entsprechende Geschäft und braucht praktisch nur noch das Passwort des users um einen Verkauf auszulösen...zu Gunsten welchen Kontos weiß ich natürlich nicht, weil ich kein wirklicher Hacker bin. Fakt ist jedoch, dass man damit schon einen Schritt weiter ist, als Null...man hat nämlich schon die Login-Namen-Abfrage übersprungen...

Fixing: Lasst in Euren ScreenShots die Geschäftsnummer weg!!

Hallo stealth,

für Deinen Hinweis, hatte auch schon überlegt, ob man über die Geschäftsnummer mehr in Erfahrung bringen kann, war aber der Meinung, daß man dazu ja das PW bräuchte.
Ich denke mal ohne dieses geht nichts. Zusätzlich bräuchte man ja auch noch den Realname, um sich einzuloggen. Zumindest mir ist keiner bekannt.
Fazit: Ist schon ein wichtiger Hinweis gewesen von Dir, aber nur wenn einer genug kriminelle Energie hat oder viel Freizeit ergibt sich meines erachtens eine Gefahr. Allerdings welchen Vorteil hätte jemand davon?
Sollte so etwas tatsächlich passieren, ließe sich dieses gegenüber CO sicherlich nachweisen, das Geschäft würde rückabgewickelt und die Person hat sicherlich ein Problem (Strafanzeige), da diese über die IP möglicherweise ermittelt werden könnte.

Trotzdem nochmal .

gruß Madmario

[Madmario]

Hallo stealth,

dachte mir ich probiere es mal mit einer eigenen Geschäftsnummer in einem uneingeloggten CO Fenster aus.
Habe allerdings, keine Möglichkeit gefunden die Geschäftsnummer einzugeben, um mich über diesen Umweg, wie von Dir beschrieben einzuloggen.

Frage: Bin ich blind oder wie kommst Du über die Geschäftsnummer ins Konto

gruß Madmario

[stealth]

Schön, dass DU antwortest, weil ich es mit Deinen Geschäften getestet habe

Ich will hier keine Arbeitsschritte darlegen, aber Du kannst mir glauben, dass ich weiss, wieviele CA-Tunnel du hältst und dass ich nur noch eine Passworteingabe davon entfernt war, diese zu verkaufen.

[Hithi]

Bin gerade mit CO am Telefon. Dieses Verhalten ist nicht bekannt. Ich weiß noch nicht, ob es gewünscht ist oder nicht.
Die von stealth beschriebene Tatsache stimmt, allerdings ist es nicht möglich fremde Geschäfte auszuführen, da das Passwort des tatsächlichen Optionshalters dazu benötigt wird.

stealth für den Hinweis, ich hoffe, dass CO reagiert. Bis auf weiteres sollten die User allerdings keine Geschäftsnummern mehr posten.

[stealth]

Nun ja...wie gesagt...ich bin kein Hacker.

Fakt ist:
- Aus verschiedenen Gründen will man nicht jeden wissen lassen, welches Volumen man handelt. Diese Information ist jedoch zugänglich, wenn man seine Geschäftsnummern veröffentlicht.

- Um Missbrauch zu verhindern, vergibt CO einen Benutzernamen und ein Passwort. Über den Weg der Geschäftsnummer kann man möglicherweise schneller einen Schaden erleiden, weil EINE der beiden sicherheitsrelevanten Informationen (der Name) umgangen wird.

- Es gibt genügend Leute mit genügend krimineller Energie, die auch eine Strafe nicht abschreckt. Ein Passwort zu erlangen ist in vielen Fällen nicht so schwer, wie es sich anhört. Wer hat ein Passwort, das im Duden steht? Wer hat das gleiche Passwort auf mehreren anmeldepflichtigen Seiten? Wer speichert seine Passwörter auf dem Rechner, auf Papier unter der Tastatur oder sonst wo? Wer hat keine firewall? Wer, wer, wer?
Wer mind. 1x mit "Ich" antwortet, ist schon ein bisschen mehr gefährdet, als andere.

- Ein Schaden ist auch schon entstanden, wenn jemand böswillig einen gut laufenden Schein vorzeitig vertickt (einfach nur so zum Spaß), selbst wenn das Geld auf dem Konto des tatsächlichen Besitzers landet.

[Hithi]

Wenn nach Eingabe des Passwortes allerdings Login und Passwort abgefragt werden, sollte selbst bei Eingabe des richtigen Passwortes eigentlich nichts passieren. Eingeloggt bin ich z.B. mit meiner Kennung, gebe aber das Passwort von Dir ein. Wird nun beides überprüft scheitert der Versuch über diesen Weg immer.

Aber natürlich hast Du recht: Wenn sich die User die Mühe machen, das Volumen der Geschäfte zu schwärzen, dann sollte es nicht sein, dass man das auf einen anderen Weg herausfindet.

[stealth]

Stimmt, aber ob es so läuft, wissen wir ja nicht....dazu reichen meine skills nicht aus

[Hithi]

Ich habe CO gebeten das zu überprüfen.

[Hithi]

Habe eben noch einen Anruf von CO bekommen. Es gibt kein Sicherheitsproblem. D.h. selbst wenn die Verkaufsmaske erscheint kann ohne das richtige Passwort kein Verkauf auf fremden Namen ausgelöst werden.
Für die Darstellung des Depots empfieht CO die Benutzung der Export-Funktion, die verbessert wurde. Man kann das nun direkt in Excel öffnen (sieht auch ganz nett aus) und eben dort alles eliminieren, was man nicht brauchen kann. Davon kann man dann eine Screenshot machen oder es per paste&copy in den Text einfügen.
Wer lieber weiterhin Screenshots direkt vom Depot macht, sollte die Geschäftsnummern der Vorgänge unkenntlich machen.