Unverschlüsselte Passwortübertragung bei Facebook

Internet & Webdienste Das ARD-Magazin Monitor hat herausgefunden, dass die über Facebook übertragenen Zugangsdaten von anderen Diensten unverschlüsselt versendet wurden. Auf diesen Sachverhalt haben die Betreiber inzwischen reagiert. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
"Kurz nachdem der Bericht von Monitor veröffentlicht wurde, hat Facebook auf die Berichterstattung reagiert und die beschriebene Schachstelle geschlossen, teilte 'Internet-Sicherheit' mit." "Schachstelle" bitte korregieren =)
 
@ruhacker: Korregieren bitte korrigieren =)
 
@DarkWanderer: s-e-b hat es auf den punkt gebracht und zwar mit danke für den hinweis.
Und nun kannst du dich im plus sulen und der der darauf aufmerksam gemacht hat bekommt minus.
Naja im osten nix neues oder wie war das noch?!
 
@DarkWanderer: Witz nicht kapiert und noch über 20+ bekommen, das is'n Traum hier auf Kiddiefuture...
 
@ruhacker:
Bitte korrigieren <--! "Schachstelle" --> Schwachstelle
 
@ruhacker: Danke für den Hinweis!
 
@ruhacker: "hinweis senden" ?!
 
@FellFroscH: Selber machen?!
 
Nix Neues aus der Welt von Failbook...^^
 
@XP SP4: jetzt müsste nur noch für alle deutlich erklärt werden was es bedeutet wenn man das soziale Netzwerk dazu enläd sein Email- Adressbuch online abzugleichen. <-- das wurde in dem in der News angesprochenen Bericht ebenfalls behandelt. Unter anderem auf diese Weise kommen FB und Andere an Daten von Menschen die nichts mit ihrem Dienst zu tun haben/wollen. Verwertet werden diese natürlich trotzdem. Das Kind ist zumindest in meinem Umfeld schon mehrfach in den Brunnen gefallen. Leider nützt es nichts sich von großen Diensten fern zu halten, wenn "Freunde" einen trotz nicht gegebener Einverständnis "aktiv" "einschreiben"
 
@XP SP4: Richtig,Willkommen bei FACEBUG ...
 
In der Tat habe ich vor zwei Tagen mein facebook Profil ziemlich blank gemacht. Da ich durch Facebook einige Kontakte halte, ist diese Plattform unverzichtbar mich. An privaten Daten (sie sowieso immer schon sehr dürftig angegeben waren) ist bis auf mein Name, geb. Datum und ein Bild von mir, ist nichts mehr da. Dritt Dienste bei Facebook habe ich nie benutzt da kein Interesse.
 
@Spürnase: Und du glaubst, wenn deine Daten nicht mehr angezeigt werden, hat Facebook die gelöscht?
 
@Hennel: Und genau deshalb, habe ich von Anfang an außer meinem Namen, Geburtstag und EIN Bild keine persönlichen und wichtigen Daten bei StudiVZ angegeben. Ich würde auch NIEMALS auf die Idee kommen, irgendwelche Urlaubs-, Party- usw. -Bilder auf solchen Seiten zu veröffentlichen. Aufgrund meines Studiums und auch meiner Freunde und anderer Bekannter ist es aber trotzdem praktisch, dort angemeldet zu sein. Ich kenne niemanden bei Facebook, aber dort würde ich es genauso halten wie bei StudiVZ.
 
@Hennel: Daten verlieren mit der Zeit am wert. Somit werden sie für FB uninteressanter, mit der Zeit. Zumal geht es mehr darum ein Zeichen zu setzen. Plattfornen wie Facebook sind in Ordnung. Das das Thema vertrauenswürdiges Behandeln muss noch einmal nachgeschlagen werden.
 
@Spürnase: Was meinst Du, warum man ein FB-Konto nur deaktivieren, aber nicht löschen kann?
 
@nokiaexperte: Man kann es schon löschen, aber die Funktion ist sehr gut versteckt, auf Chip gab es heute eine Anleitung dazu: http://www.chip.de/news/Facebook-Account-loeschen-So-funktioniert-s_43025561.html
 
@nokiaexperte: Im Gegensatz zu Winfuture kann man bei Facebook - Account löschen, nur dass die Funktion gut versteckt ist.
 
@Spürnase: das bild gehört nun farcebook :D
 
"und die beschriebene Schachstelle geschlossen" WAS? NEEEIINN!! Jetzt kann ich nur noch Yahtzee oder FarmVille spielen. :'(
 
@peterschulze83: JEEAH Farmville ist Kult!
 
@John Dorian: Iiiiiiiiiiihhhhhhhhhhhh...
 
@John Dorian: 16 und mädchen?Oder bewegst du dich außerhalb des klischees? ;)
 
"Die zugehörigen Datenströme wurden in Zusammenarbeit mit den Experten des Instituts für Internet-Sicherheit der Fachhochschule Gelsenkirchen sichtbar gemacht." Hab gestern die Sendung gesehen, das Programm war Wireshark. Da kann jeder selber mal nachgucken. :D
 
Ganz so schwierig ist Wireshark nun auch nicht zu bedienen, dass man unbedingt ein "Experte" sein und schon gar nicht mit einer Hochschule kooperieren muss... Außerdem ist wiedereinmal BildFuture unterwegs und ihr selbst nicht besser! Denn eure Webseite ist ebenso unsicher! Genauso wie jede andere "http"-URL. Aber Hauptsache Facebook, Adobe oder Opera steht im Titel.
 
@knoxyz: Bei den meisten werden aber keine Email-Passwörter oder ähnliches gesendet...
 
@PumPumGanja: Wozu ein Passwort genutzt wird spielt keine Rolle. Wie geschrieben sind http-URL für die Übertragung von sensiblen Daten ungeeignet. So wie es jetzt dargestellt wird, ist es entweder eine Hetzjagd gegen Facebook oder Dummheit des Magazins Monitor und Winfuture, weil man Nutzer in nicht vorhandener Sicherheit wiegt, die es bei anderen "Social Networks" wie StudiVZ, MeinVZ ebenso wenig vorhanden ist. Außerdem ist es keine große Überraschung, dass Nutzer nicht für alle Accounts unterschiedliche Passwörter haben. PS: Die FH Gelsenkirchen (und sehr viele andere) sollte man besser ihre eigenen Passwörter, bzw. die Ihrer Studenten auswählen, weil die voreingestellten Kennwörter für z.B. die Bibliothek aus einem festen Schema (Name und Geburtsdatum) bestehen mit dem arg böser Unfug möglich wäre.
 
@knoxyz: Also ich weiß ja nicht ;).

Aber mein studivz login ist https ;).
 
@sebastian2: Dann hat das studivz erst kürzlich geändert. Sorry, für diese veraltete und somit falsche Info. Bei meinvz und tausende andere Protale gilt dies dennoch weiterhin.
 
@knoxyz: Alle Portale der VZ Gruppe bieten einen verschlüsselten Login. Auch wenn das direkt auf der einstiegsseite nicht ersichtlich ist.

Die Loginformulare der VZ Seiten, "leiten" intern alle auf die seite https://secure.****vz.net/Login um.
 
@knoxyz: Bin ich deiner Meinung, deswegen hab ich das Programm ja erwähnt, mit dem Hinweis, dass man selber mal nachgucken kann. Nur bei Monitor sitzen halt keine Freaks, und bevor man sich auf Halbwissen stützt, und womöglich was peinliches berichtet, holt man sich lieber Experten. Bei WinFuture ist das mit den Daten abfangen aber mMn nicht so schlimm... Wenn jmd meinen Acc hijackt... who cares? Mach ich nen neuen. ;)
 
@peterschulze83: Hier beim Einloggen auf Winfuture wäre das auslesen der übertragenen Daten ja auch möglich. Das einloggen erfolgt ja auch unverschlüsselt. Allerdings sind die Daten bei Winfuture wohl weitaus weniger attraktiv, denn Realname geben mit wenigen Ausnahmen die meisten wohl eher nicht an.
 
So einfach ist wireshark auch nicht ;).

Ich hatte nun schon mehrere Webseiten, wo zwar das auslesen des Benutzernamens klappte, aber das passwort trotzdem irgendwie verschlüsselt war.

Ich denke schon, dass es gerade bei seriösen Sendungen wie Monitor wichtig ist, jemanden mit Ahnung dran zu lassen.

Außerdem ist das sicherlich auch eine gute Übung für die ansässigen Studenten im Fach "rechnernetze" oder ähnliche.
 
@peterschulze83: Hier bei Winfuture kann jeder selbst noch viel einfacher selbst mal bei Usernamen und Passwort Übertragungen live zugucken, einfach diesess Firefox Addon nutzen: https://addons.mozilla.org/de/firefox/addon/3829/. Aus Winfuture ausloggen. Das Firefox Addon starten, dann in Winfuture einloggen. Schon darf man seinen live mitgeschnittenen Usernamen und sein live mitgeschnittenes Passwort aus der Übertragung an Winfuture selbst mal im Klartext bewundern. :-))
 
@Fusselbär: Ich finds eigentlich viel schlimmer, dass WinFuture das Passwort als simplen MD5 Hash in den Cookies speichert. Sicherheitsexperten warnen sogar davor, dass man es auf dem Server als MD5 ohne Salz speichert, da man mit Rainbow Tables auf das Passwort bzw ne Kollision stoßen kann, und sich damit einloggen kann. (Wenn man iwie an den Hash kommt). Bei WinFuture ist es noch viel schlimmer. Der speichert nicht nur im Client als Cookie den MD5 Hash im Klartext, sondern ermöglicht auch das "einloggen" nur mit dem Hash und dem Benutzernamen. Session IDs gibt's nicht...
 
@peterschulze83: Glücklicherweise sollten die Daten auf Winfuture aber weitaus weniger attraktiv sein, als Facebook Daten, denn ihre echten Namen geben doch wohl die wenigsten hier an. Ein Hoch auf den Nickname! Soviel Persönlichkeitsschutz sollte im Internet mindestens sein. Was auf der andern Seite gemacht wird, aus Schusseligkeit oder was auch immer für Gründen, kann sich ja niemand wirklich sicher sein,
 
Schaut euch das Video von Monitor einfach selbst an: http://tinyurl.com/369d53y
 
Oooch, wieder eine "Wir sorgen für Kontakte - auch Ungewollte"-Facebook-News. Social-Network am Allerwertesten...i love it^^
 
Komisch, dass man die "Sicherheitslücke" auf einmal so schnell schließen kann?
 
Ich weiss nicht ich find das nicht schlecht, wenn man gleich darauf reagiert und die Lücke schliesst. Wenn man hier so in den Kommentaren rumschaut meint man fast jede Software sei fehlerfrei nur Facebook und Microsoft Produkte nicht...
 
SocialCommunities sind schon nützlich, aber dann doch lieber die "Haus-eigenen" deutschen nutzen, die halten sich an den deutschen, sehr strengen Datenschutz. Ich bin für meinvz, da hat man dann alle seine studivz und meinvzler am start. und nutzerdaten an werbekunde dürfen in DE auch nicht übermittelt werden.
 
MD5 Rückwärts Suche: http://md5.rednoize.com/
 
Hmmm, bin bei Facebook aber als mir das "Freundesuchen" angeboten wurde, unter Angabe meiner E-Mail Passwörter, habe ich sofort geschalten und mir gesagt: 1. wozu brauche ich den Mist 2. was werden die wohl mit dem Passwort anstellen wenn die das erstmal haben. An die Übertragungssicherheit der Passwörter habe ich da noch gar nicht gedacht.
Kommentar abgeben Netiquette beachten!

Facebooks Aktienkurs in Euro

Facebooks Aktienkurs - 6 Monate
Zeitraum: 6 Monate

Der Facebook-Film im Preis-Check

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte