Hallo Unterzeichner!
Update: Das ePetitionssystem scheint inzwischen verändert worden zu sein. Es werden Stimmbestätigungen per E-Mail versendet und die Unterzeichner-URL enthält einen Nonce. Der Petitionsausschuss ist auch sonst noch in Kontakt mit uns.
Die folgende Seite wird dich (falls du gerade beim ePetitions-Server des Bundestages angemeldet bist) in die Petition gegen das Gen-Diagnose Gesetz NICHT MEHR eintragen. Du solltest dich also nach dem Besuch der Seite wieder aus der Liste entfernen - oder die Sache mit deinem Namen unterstützen. Du findest die Petition hier (du kannst Dich auch vergewissern dass du jetzt noch nicht eingetragen bist):
https://epetitionen.bundestag.de/index.php?action=petition;sa=details;petition=3852
Also hier geht es jetzt zu der Seite mit dem (unsichtbaren) Bild: CompXSRFPetitionDoit
Gruss Bernd
PS: natürlich würde dich ein Angreifer nicht drauf hinweisen.
Sicherheitsproblem
Das ePetitions System scheint sehr anfällig für Cross Site Request Forgery. Einfach ausgedrückt heisst dies, dass eine andere Web Seite Anfragen im Namen des Benutzers abschicken kann die entweder den Benutzer in eine weitere Petition eintragen oder dort wieder entfernen. Dies ist dann möglich wenn der Benutzer sich auf der Petitionsseite registiert hat und eingelogged ist.
Um dies zu vermeiden sind folgende Massnahmen anerkannter Stand der Technik:
a) Links die Aktionen ausführen sollten nicht "erratbar" sein. Dazu verwendet man in der Regel zufällige, nur einmal gültige Zeichenfolgen, sogenannte Shared Secrets oder "Nonces". Dies stellt sicher dass ein anderer Server dem Browser des Benutzers keinen gültigen Aufruf unterschieben kann.
b) Die Login Session sollte nicht tagelang gültig bleiben. Das Rikisko wird größer je mehr fremde Webseiten ein Benutzer besucht nachdem er sich auf der Petitionsseite eingelogged hatte.
Cross Site Request Forgery ist übrigens laut BSI Studie eines der Top Risiken von Web Anwendungen. Es ist erstaunlich dass Experten hier nicht hinzugezogen wurden.