Gerade bin ich bei CountZero auf folgendes gestossen:
Riesenloch bei westlotto.de

Gerade sind Zedel und ich auf ein riesiges Sicherheitsloch bei westlotto.de gestoßen. Ich wollte ihn auf das sogenannte Superding aufmerksam machen, eine Sonderziehung, die am 04.11.2006 stattfindet. Also habe ich die URL dieser Sonderziehung in die Zwischenablage kopiert und per Instant Messenger an ihn verschickt, und im Gegenzug erhielt ich von ihm postwendend einen Screenshot zurück, der zeigt, wie er mit meiner Session auf meine Kosten spielen kann.

Na das finde ich schon Hardcore. Selbst ich kann eine Anmeldeprozedur programmieren, die ohne Übergabe der Session-ID in der URL (und auch ohne Cookie…) auskommt. Und vor allem: Selbst wenn man die Session-ID via URL weitergibt, dürfte einem so ein übler Schnitzer nicht passieren.
Sowas kommt wohl dabei raus, wenn man aus Kostengründen seinem Programmierer das Recht auf Schlaf aberkennt und versucht, das durch Kaffee und intravenöse Ernährung zu kompensieren…
Mal sehen, was daraus wird.

P.S.: Westlotto ist schon informiert - haben sich aber noch nicht zurückgemeldet…

UPDATE!
Mir ist da noch was zu eingefallen…

Wahrscheinlich ist das garkeine Sicherheitslücke, sondern ein verkanntes Feature! Man braucht sich nämlich keine zwei Dinge (Benutzername UND Passwort!) mehr merken. Die Session-ID reicht
Man stelle sich folgendes wunderbares Szenario vor:
Man besucht eine Website und kann sich jeden beliebigen Benutzernamen aussuchen und auf dieser Website mit den Kontodaten von anderen Leuten (und somit auf deren Kosten) lustige Dinge bestellen. Kernwaffen zum Beispiel. Das wäre doch super. So läuft das in Nordkorea, glaube ich. Internetsozialismus. Obwohl… Dann hätten die Nutzer wohl aber auch alle bloß ein gemeinsames Konto. Und das wär leer