Durch Arbeiten an einer neuen Version vom ICQ Password Changer (wegen der Deaktivierung der serverseitigen Passwortänderung) bin ich auf einige Bugs auf der Website von ICQ gestoßen. Ob es nun wirklich Bugs sind oder Absicht sei mal dahingestellt.
I. Account Registration
Wählt man bei der
Registration wie empfohlen ein Passwort bestehend aus Klein- und Großbuchstaben sowie Zahlen (z.B. Ts7f6Mn4) wird es logischerweise grün als
Strong password gekennzeichnet. Soweit noch alles in Ordnung. Ist man bei seinem Nicknamen nun nicht ganz so kreativ und wählt beispielsweise drei Punkte, wird das Passwort plötzlich als schwach bezeichnet (
Weak password, siehe Bild unten). Erst ab neun Punkten springt es wieder um. Ähnlich ist es bei den Zeichen "
$", "
^" und "
|" (ohne Anführungszeichen). Meistens reicht es aus, zu den genannten Zeichen ein beliebiges anderes zu wählen um den Fehler zu vermeiden. Bei "
|" ist das jedoch nicht möglich, d.h. hat man sich den Nickname "
|No1|" (oder vergleichbares) ausgesucht, scheitert es am angeblich schwachen Passwort. Beachtet man das nicht (eigentlich begründet, denn das Passwort ist
nicht schwach) und füllt anschließend den Rest aus, erscheint beim Absenden folgende Meldung:
"Your password must contain 6-8 characters and should include upper and lower case letters and numbers. It must also be different than your nickname, first or last name."
Allerdings trifft hier keiner der kritisierten Punkte zu! Was ist also der Sinn dieses Features?
II. Change Password
Ausgehend von obiger Tatsache hat der schlaue User seinen Nickname möglicherweise erst später in "
|No1|", "
…" oder ähnliches geändert und möchte sein Passwort nun über die Website ändern. Nach dem Login sollte das über
https://www.icq.com/support/change_password/ problemlos gehen. An der Stärke des Passworts gibt es diesmal nichts auszusetzen, doch es erscheint der Hinweis
"Your new password cannot contain your first name, last name or nickname." (siehe Bild unten) was dem zweiten Teil der obigen Meldung entspricht. Verzweifelt wird der Nutzer jetzt versucht ein anderes Passwort zu wählen, doch ohne Erfolg. Wie soll er auch darauf kommen, dass es an seinem Nickname und nicht am Passwort liegt? Der Hinweis ist in dem Fall etwas unpassend.
Der Grund für diesen Fehler sind versteckte Felder (
fname,
lname und
nickname), welche als Werte die entsprechenden Benutzerdaten enthalten und somit wieder die fehlerhafte Überprüfung wie bei der Anmeldung durchgeführt wird.
Hier gibt es jedoch eine Lösung ohne die Benutzerdetails ändern zu müssen und zwar indem die Werte direkt übergeben werden (also nach dem Web-Login folgenden Link aufrufen):
| https://www.icq.com/support/change_password/?act=change_pass&old_password=12345678&new1_password=Ts7f6Mn4&new2_password=Ts7f6Mn4 |
Sonderzeichen müssen ggf. kodiert werden (mehr dazu unter
http://de.wikipedia.org/wiki/URL-Encoding; Online-Tool:
http://www.digiden.de/Service/URLEncoder). Auch kann auf diese Weise ein Passwort ohne Einschränkungen gewählt werden, z.B. "1", was aber nicht zu empfehlen ist.
III. Login
Der folgende Punkt ist nicht wirklich ein Fehler, da er durchaus nützlich sein kann um an eine vergessene ICQ-Nummer zu kommen oder eine verknüpfte E-Mail-Adresse zu überprüfen. Andererseits kann so jede E-Mail-Adresse einfach auf Zugehörigkeit überprüft werden.
Zum Vorgehen:
Geht man auf die Login-Seite von ICQ (
https://www.icq.com/karma/login_page.php) kann entweder die E-Mail-Adresse oder die ICQ-Nummer zum Login angegeben werden. Gibt man eine E-Mail-Adresse ein, die mit einem ICQ-Konto verbunden wurde und ein beliebiges Passwort wird die ICQ-Nummer automatisch ergänzt (siehe Bilder unten). Das Ganze funktioniert natürlich mit jeder beliebigen E-Mail-Adresse.
1. E-Mail-Adresse und beliebiges Passwort eingeben. Login wählen.
2. ICQ-Nummer wird automatisch ergänzt.
Ein paar interessante Treffer:
admin@icq.com -> 222222222
support@icq.com -> 164447143
webmaster@icq.com -> 164446671
icq@icq.com -> 112333
test@icq.com -> 569415600
hab mich shcon damit geqält 
