Mozillas Single-Sign-On-System wurde geknackt
Informatikern der Universität Trier ist es gelungen, das Single-Sign-On-System "Persona", das von Mozilla entwickelt wurde, zu knacken. Sie attestierten dem Dienst "gravierende Sicherheitslücken".
Die Forscher fanden heraus, dass sich Angreifer mit beliebigen E-Mail-Adressen von Google- oder Yahoo-Nutzern bei Persona anmelden können. Über diese Zugänge ist es den Hackern möglich, Daten aus fremden Benutzerkonten auszuspähen und zu verändern. Dabei sollte mit dem System einiges besser werden.
Allerdings hat die Sicherheitslücke die Nutzer von Persona mehr gefährdet, als es die Datensammlung von Google oder Facebook vermutlich könnten. Die Informatiker haben die Entwickler bei Mozilla auf das Problem hingewiesen und konnten so inzwischen dafür sorgen, dass die Schwachstelle behoben wird. Weitergehende Details sollen im Mai auf der IT-Sicherheitskonferenz "Security and Privacy 2014" im kalifornischen San Jose vorgestellt werden.
Dem Grundkonzept des Dienstes stellten die Trierer Forscher nach ihrer Analyse hingegen ein gutes Zeugnis aus: "Es hebt sich, neben einigen technischen Vorteilen, durch seinen datenschutzfreundlichen Ansatz wohltuend von anderen System ab", erklärte Ralf Küsters von der Professur für Informationssicherheit und Kryptographie. Er warnte aber zugleich davor, auch solchen Anwendungen blind zu vertrauen: "Sicherheitslücken verstecken sich meist in subtilen Details und sind oft nicht auf einen Blick auszumachen", erklärte er.
Persona sollte vieles besser machen
Auf Single-Sign-Ons (SSO) trifft man inzwischen immer häufiger. Webseiten bieten hier die Möglichkeit "Login mit Facebook" oder "Anmelden mit Google", damit sich die Anwender nicht mehr für jede genutzte Seite ein neues Passwort merken müssen. Der Nachteil dabei: SSO-Anbieter wie Google und Facebook haben Kontrolle darüber, wann und wo sich ihre Benutzer einloggen. Mozilla wollte mit seinem System hingegen einen anderen Ansatz verfolgen und insbesondere einen stärkeren Datenschutz garantieren. Außer dem Anwender selbst sollte niemand in Erfahrung bringen können, wo sich ein Nutzer einloggt.Allerdings hat die Sicherheitslücke die Nutzer von Persona mehr gefährdet, als es die Datensammlung von Google oder Facebook vermutlich könnten. Die Informatiker haben die Entwickler bei Mozilla auf das Problem hingewiesen und konnten so inzwischen dafür sorgen, dass die Schwachstelle behoben wird. Weitergehende Details sollen im Mai auf der IT-Sicherheitskonferenz "Security and Privacy 2014" im kalifornischen San Jose vorgestellt werden.
Dem Grundkonzept des Dienstes stellten die Trierer Forscher nach ihrer Analyse hingegen ein gutes Zeugnis aus: "Es hebt sich, neben einigen technischen Vorteilen, durch seinen datenschutzfreundlichen Ansatz wohltuend von anderen System ab", erklärte Ralf Küsters von der Professur für Informationssicherheit und Kryptographie. Er warnte aber zugleich davor, auch solchen Anwendungen blind zu vertrauen: "Sicherheitslücken verstecken sich meist in subtilen Details und sind oft nicht auf einen Blick auszumachen", erklärte er.
Thema:
Beliebte Firefox-Downloads
Foren-Beiträge zum Firefox
-
Neu: Firefox 137.0 veröffentlicht: viele interessante Neuerungen
d-hubs -
Firefox 136 freigegeben: viele Neuerungen mit an Bord
d-hubs -
Firefox 135.0 freigegeben neue Features, diverse Updates und Fixes:
d-hubs -
Firefox jeden Tag neu starten
joe13 -
Mozilla Firefox 133 freigegeben: mit an Bord viele Verbesserungen
d-hubs
Weiterführende Links
Neue Nachrichten
- Amazon Prime Day: Die Tages- und Blitzangebote im Vergleich
- Mythos-Sperre: KI hackte "fast alle" NSA-Systeme "in wenigen Stunden"
- Die Steam Machine ist da: Valve enthüllt Preis und Spezifikationen
- AMD Radeon: FSR 4.1 landet ab sofort auf Millionen älterer Grafikkarten
- Nürburgring-Rekord: Xiaomi YU7 GT meistert Grüne Hölle ohne Fahrer
- WhatsApp bekommt einen neuen Chef - für bessere Monetarisierung?
- CD Projekt Red: Cyberpunk-2077-Debakel wirkt bis heute nach
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen