Skip to content

Facebooks angebliche https Sicherheit

Am Samstag erst berichtete ich über mehr Sicherheit bei Facebook mittels "https". Diese verschlüsselte Verbindung ist aber mehr oder weniger verarsche, wie heise meldet. Denn öffnet man z.B. eine Anwendung (CityVille oä.) kommt folgende Meldung:

fb_https

Sobald man nun auf "Weiter" klickt wird der Hacken in den Kontoeinstellungen wieder deaktiviert und man wechselt dauerhaft auf eine Standardverbindung. Wählt man "Abbrechen" bleiben die Einstellungen zwar erhalten, jedoch startet die App nicht. Man kann nun zwischen Pest und Cholera wählen. Also entweder die verschlüsselte Verbindung nach jeder App erneut aktivieren oder das nutzen selbiger komplett einstellen und auf der sicheren Seite bleiben.

Facebook sollte da schnellstmöglich nachbessern.

Blacksheep Addon spürt Facebook Hacker auf

Vor einiger Zeit hatte ich über Firesheep berichtet. Mit diesem Firefox Addon ist es ohne weiteres möglich eure Facebook oder Twitter Zugangsdaten im WLAN auszulesen. Nun gibt es ein weiteres Addon namens Blacksheep, das euch zumindest darauf aufmerksam macht, wenn Firesheep in einem WLAN Netzwerk aktiv ist und Daten ausliest. Beide Tools basieren auf dem gleichen Code und agieren demnach auch sehr ähnlich, mit dem Unterschied, dass Blacksheep einem Missbrauch nur anzeigt und nicht persönliche Daten ausliest. Blacksheep ist also ein netter Zusatz um sich zu schützen, noch effektiver ist aber Https Everywhere.

Schutz vor Logindaten Diebstahl (Firesheep)

Heute wurde bekannt, dass seit Kurzem eine neue Sicherheitslücke im Firefox ausgenutzt wird, durch diese wurden Besucher der Friedensnobelpreisseite Opfer eines Trojanerangriffs. Um sich vor dem neuen Trojaner zu schützen ist es nötig Javascript im Firefox zu deaktivieren. Dazu müsst ihr nur "Extras/Einstellungen/Inhalt" den Haken bei "Javascript aktivieren" entfernen. Alternativ könnt ihr das Addon "NoScript" nutzen, welches im Voraus jegliches Javascript einer Webseite blockiert. Mozilla arbeitet zur Zeit schon an einem Update.

Eine andere Lücke die nicht nur den Firefox betrifft sondern unverschlüsselte Logindaten ist schon länger bekannt. Nun wurde aber ein einfaches Addon namens "Firesheep" für den Firefox veröffentlicht, welches das Auslesen von Zugangsdaten im WLAN ermöglicht. Die Technik hinter dem Addon ist schon länger als "HTTP Session Hijacking" bekannt. Im Prinzip funktioniert das Ganze recht einfach.

Firesheep

Viele Seiten, zB. Facebook oder Twitter senden zur Bestätigung eurer Logindaten ein Cookie, dieses wird abgefangen und die Zugangsdaten (welche im Klartext vorliegen) ausgelesen. Das Ganze ist so einfach, weil oft nur der erste Loginversuch verschlüsselt wird und nicht der komplette Vorgang. Wie schon erwähnt ist dieses Problem schon lange bekannt, das Addon bietet nun leider jedem Salontiroler die Möglichkeit mit ein paar Klicks eure Daten auszulesen.

https everywhereSchutz vor diesem Problem bietet wiederum ein anders Addon. HTTPS Everywhere erzwingt die dauerhafte Nutzung einer verschlüsselten Verbindung bei Seiten wie Facebook, Twitter, Paypal, Amazon oder GMX. Für Chrome Nutzer gibt es den SSL Enforcer. Einen 100% Schutz bieten diese Addons natürlich ebenso nicht, aber das Auslesen von Daten wird doch erheblich erschwert.