Facebooks Single-Sign-on hat ein Problem und die Lage eskaliert

Ein Sicherheitsforscher hat schon vor einiger Zeit eine Schwachstelle im Single-Sign-on-System von Facebook entdeckt. Dieser ermöglicht es Angreifern, Accounts auf Webseiten Dritter zu kapern. Nachdem Facebook das Problem lange nicht beheben wollte, ... mehr... Facebook, Login Screen, facebook ipad Bildquelle: Facebook Facebook, Login Screen, facebook ipad Facebook, Login Screen, facebook ipad Facebook

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Dann wäre jetzt doch der ideale Zeitpunkt, das Projekt "Facebook" ein für alle Mal zu beerdigen. ^^
 
@DON666: war eh nur ein "Testlauf im kleinen kreise" :D
 
Eins kann und werde ich nie verstehen,
da warnen bekante Größen davor, das Gleiche Passwort und gleichen Usernamen zu verwenden und Facebook wird Quasi als Masterpasswort benutz?
In einer besseren Welt bekäme jeder der sowas macht Lebenslanges Netzverbot und die verantwortlichen von Facebook zusätzlich Berufsverbot!
 
@Kribs: ...und in der Welt von "Idiocracy" wäre selbstverständlich sogar das Bankkonto damit verknüpft. ;)
 
@DON666: I like money!
 
@DON666: Das habe ich mir gerade auch gedacht, generell sind Master Passwörter, Passwort Apps etc. unsicher.
Wer auf die unsinnige Idee kommt bei Facebook alle Passwörter zu sichern, der hat überhaupt keine Ahnung was für einen Schaden dadurch entstehen kann.

Ich bevorzuge immer noch eine Tabelle in Papierform.
Diese ist an einem sicheren Ort und liegt auf keinem Server.
 
@Thomsen: Du sicherst bei Facebook keine anderen Passwörter. Genauer genommen gibt es da gar keine anderen Passwörter.

SingleSignOn funktioniert i.d.R. so, dass der Anbieter (hier Facebook) eine API anbietet, über die andere Dienste den Login realisieren können. Statt nun einen eigenen Login mit Benutzername/Passwort bei dem anderen Dienst anzulegen, kann der Anwender sich (unter Verwendung der bei dem anderen Dienst implementierten Nutzung des Facebook-SingleSignOns) bei Facebook anmelden. Der andere Dienst erfährt dabei den Facebook-Login nicht. Facebook generiert ein Token, das dann an den anderen Dienst übermittelt wird. Mit diesem Token kann der Benutzer dann wiedererkannt werden, und Kontoinformation (Spielstände, was auch immer) kann zugeordnet werden.

Im Prinzip ist es möglich, durch Entwenden (Kopieren) so eines Tokens dann dem anderen Dienst gegenüber vorzugeben, man sei der Anwender (der Dienst verifiziert das Token bei Facebook, und bekommt ein "ja, das gehört Erika Mustermann, die ist anmegeldet" zurück).

Obige Sicherheitslücke verstehe ich wie folgt: es passiert das Gegenteil des Entwendens des echten Tokens des Benutzers - stattdessen wird dem Benutzer ein fremdes Token untergeschoben (der Effekt ist am Ende der selbe: der Angreifer kennt das vom Opfer verwendete Token). Woraufhin das Opfer statt mit seinem eigenen Facebook-Account dann mit dem fremden Facebook-Account bzw. dem fremden Token bei den externen Diensten authentifiziert wird. Nun hinterlegt der Anwender irgendwelche Information bei den externen Diensten (z.B. Spielstände, Adressen bei einem Händler, etc). Da der Angreifer das untergeschobene Token kennt, kann er sich mit dessen Hilfe nun diesen externen Diensten gegenüber als das Opfer ausgeben, und an jene Daten gelangen.
 
@FenFire: Stimmt, so genau habe ich mich damit nicht befasst. Immer mehr Webseiten bieten den Login mit dem Facebook Account an, daher habe ich es.
Ich habe mich von den anderen Kommentaren leiten lassen bezgl. Master Passwort etc. ;)
 
@Kribs: Naja der Sinn dieser Account Services ist doch, dass kleinere Anbieter (vor allem wohl für Spiele-Apps) nicht um diese sensiblen Daten kümmern müssen. Die Speicherung und Authorisierung wird von einem großen Anbieter übernommen, der die Mittel hat (sowohl Manpower als auch Finanzen) um ein deutlich sichereres Konzept bieten zu können.

Also statt unverschlüsselter Übertragung von Username/Passwort und Speicherung im Klartext, übernimmt hier ein Facebook oder Google das Ganze.

Also im Prinzip eine gute Sache für "kleine" "unwichtige" Dinge wie Spiele-Apps. Das Problem mit dem ein Passwort für viele Dinge ist jedoch vorhanden.

Facebook ist jetzt nur so dreist und hält es nicht für nötig die Sicherheit des Systems zu gewährleisten. Und das ist echt ein No-Go. Das passendste Resulttat wäre es, wenn alle die den Single-Sign-On von Facebook für ihre Anwendung verwenden schleunigst zu einem anderen Anbieter zu wechseln und den Kunden den Grund für diesen Wechsel deutlich zu machen.
Wird aber wohl nicht passieren....
 
@Draco2007: Aber das ist halt ein Riesenproblem. Wenn ein derart penetrant global auftretender Anbieter so was elementares nicht wirklich in den Griff bekommt, sollte er auch dazu stehen und ggf. die User entsprechend warnen und vielleicht sogar von der Nutzung abraten. Das widerspricht aber natürlich komplett deren Anspruch, DER zentrale Anlaufpunkt im Web zu sein, und ist daher leider nur naives Wunschdenken meinerseits. :(
 
@DON666: Da kann ich nur in jedem Wort zustimmen!
 
@Draco2007: Danke! Man sollte halt auch seine Grenzen kennen. Ist dasselbe, als wenn ich als 3-Mann-Betrieb einen Auftrag für flächendeckende Serverausstattung von Mercedes-Benz annehme, weil ich nur das Geld vor mir sehe. Manches geht halt einfach nicht, ist ja auch okay.
 
@DON666: Facebook ist aber halt kein 3 Mann Betrieb....und in einem ganzen Jahr sollte ein solches Problem an einer solche zentralen wichtigen Stelle die entsprechende Priorität bekommen....

Aber der Fall bestätigt eigentlich nur meine Meinung über Facebook...
Sicherheit und Datenschutz kommt an letzter Stelle....
Dollars und Daten an erster ^^
 
@Draco2007: Nun ja, ich meinte das auch in der Relation. Immerhin will der Laden ein sicheres Single-Sign-On für alle möglichen Dienste für einen nicht geringen Teil der milliardenschweren Weltbevölkerung bieten. Dagegen ist Facebook noch nicht mal ein 0,000000000000000000001-Mann-Betrieb. Und ich bin mir verdammt sicher, dass der dahinterstehende Mechanismus für Onlinegangster ein äußerst attraktives Ziel bieten dürfte.
 
Wie wäre es denn wenn WF mit gutem Beispiel vorangeht und dieses FB-Login einfach entfernt.

Es ist ja schon grob fahrlässig so etwas dann überhaupt noch seinen Kunden anzubieten.
 
@LastFrontier: Das WF-Team sind Heuchler, egal ob es um Tracking geht, FB oder ähnliches in dieser Richtung.
 
@iPeople: Heuchler is nen ziemlich heftiger Vorwurf; aber WF macht so ziemlich alles falsch was man in der modernen Netz-Welt eigentlich nicht (mehr) macht. Allen Voran die massive Werbung (AdBlock blockt gerade 31!!!!!! Elemente), die die Webseite langsam machen.
 
@TurboV6: Der Vorwurf wird aber immer wieder bestätigt. WF kann man inzwischen nicht mehr nutzen ohne Adblock, Ghostery (17 blockierte elemente) und Noscript. Alleine diese News hier ... und was muss man hier blockieren? Richtig, die Verknüpfung zu FB.
 
@LastFrontier: Das allein ist es nicht, eine einfache Umstellung auf beliebige OpenID Connect Dienste wäre deutlich besser, damit man dann auch alle anderen wie Google, Microsoft oder sonstige nutzen könnte.
 
Zum Glück bin ich Altmodisch und mache mir überall dedizierte Accounts :)
Ich habe der SSO Sache im Web noch nie vertraut - oder sagen wir so: ich würde niemals Zugangsdaten von Seite A auf Seite B angeben.
 
@dognose: Das Problem bei eigenen Accounts ist eben daß man dann wenn man halbwegs sicher sein möchte ebenfalls eigene eMail-Adressen für jede Seite anlegen muß, weil ich zumindest bisher jedes Jahr im Schnitt drei Accounts verloren habe.
Es hat eigentlich schon seinen Sinn die Authentifizierung Firmen zu überlassen die von Security mehr verstehen als irgendeine kleine Klitsche.
 
@Johnny Cache: Der Sinn von SSO ist schon klar. Auch die Aussage, dass die Daten bei Facebook Sicherer sind als bei blog xy kann man so stehen lassen.

Problematisch sind nur die durch SSO möglichen Phising Versuche. Klar, seriöse Seiten tun das nicht, aber Lieschen Müller kann das wohl nicht unterscheiden.

Bei dedizierten Accounts vertraust du nat. direkt der Datenbank der kleinen Seite. Ein Email-Adressen leak wäre jetzt nicht so wild. Das zugehörige Password (das "Nutz-ich-überall-passwort") dagegen schon. Ich verwende daher als Password immer einen "Hash" aus meinem passwort und der jeweiligen domain. (Ja, schon sehr nerdig, aber dadurch ist das Password auf jeder Seite hinreichend anders um auf anderen Seiten mit der selben email Adresse nutzlos zu sein)

Gegenüber komplett zufälligen PWs hat das den Vorteil, dass ich die login daten auch unterwegs (ohne keePass) rekonstruiren kann, wenn ich mich mal irgendwo einloggen muss.
 
@dognose: Du meinst sowas wie SuperGenPass? Aber auch das hilft nur wenn man nicht gezwungen wird dieses zu ändern, was ja leider viel zu offt vorkommt.
Ein leak meiner Daten wäre in der Tat nicht mehr sonderlich schlimm, da inzwischen schon sicher mehr als zwei Drittel aller Phischingmails über meine korrekten Daten verfügen.
 
@dognose: Du gibst die Zugangsdaten von Seite A (SingleSign-Anbieter, z.B. Facebook, Google, ...) gar nicht auf Seite B (z.B. Spielewebseite) an. Sondern B leitet Dich zu A weiter (da sind dann auch noch Informationen dabei, dass es sich um die Anforderung eines Login-Tokens seitens B handelt). Du meldest Dich bei A auf einer Seite von A an. A weiss, dass es sich um eine SingleSignOn-Anfrage handelt, und generiert ein Login-Token. Dieses erhält dann B (und der Anwender, bzw. irgendein Cookie von B, mit dessen Hilfe B dann das Token rekonstruieren kann). B kann dann mit dem Token bei A den Login-Status prüfen ("da ist jemand mit diesem Token, sag mal ist das ein gültiges SingleSignOn-Token, wer ist das denn?").

Der Sinn und Zweck eines Logins (Kombination Benutzername + Passwort) ist ja, den Anwender zu erkennen ("das ist Herr Meier, und ja er ist es selbst und nicht jemand, der sich als er ausgeben möchte - er kannte ja das Passwort"). Hier geschieht die Erkennung dann über das Token und die Information, die B von A bei Überprüfung des Tokens bzw. der Neueingabe des Logins erhält ("das ist Herr Meier, denn es ist sein Token" bzw. bei einem Neu-Login "das ist Herr Meier, der hat sich gerade bei mir [A] angemeldet").
 
@FenFire: So funktioniert SSO, richtig. Allerdings muss die nutzende Seite das Login Formular präsentieren. Selbst in Form eines Popups kann man nicht sicher sein, dass das wirklich die Login-Maske von "Facebook" ist. (Popup mit versteckter Adressleiste und eine täuschend echte Adressleiste als "HTML" modeliert, etc. Dann kann ich sogar grüne SSL-Zertifikate anzeigen usw...)

Ich kann auch "Facebook-ähnliche" Masken generieren und auf meiner Seite anbieten "Einfach mit Facebook anmelden". Dann speicher ich das PW, teste es via curl auf Facebook und kann dann sogar ein "falsch" / "korrekt" erkennen und instant dem Nutzer präsentieren, der meint "Super, das war ja einfach und sicher".

In Wirklichkeit habe ich aber seine Daten zwischengespeichert und kann Sie für sonst was nutzen. "Aufmerksame" Nutzer würden das vermutlich erkennen, 95% der Benutzer hacken aber einfach Ihre Login Daten rein. Ist ja das Blaue "F" dabei, das ist Facebook-SSO.

Noch schwieriger wird das aufgrund der Verbreitung: Mittlerweile bietet jede Seite das Facebook-SSO an. Wer also zufällig auf "www.produktproben-kostenlos.xx" vorbeikommt und ein Facebook SSO findet, wird nicht zwangsläufig genau hinsehen - ist ja überall so, erweckt also kein Misstrauen.

Und eben für Seiten auf denen man nur "einmal, zufällig" unterwegs ist bietet ja SSO vorteile keinen Account anlegen zu müssen. Aber gerade hier sollte man SSO nicht verwenden. (Meine Meinung)
 
@dognose: Das stimmt, während bei eine seriös / korrekt implementierten SSO über Facebook die eigentliche Eingabe der Logindaten auf einer Facebook-Seite erfolgt und die den SSO-Dienst nutzende Seite sie somit nicht erfährt, könnte natürlich ein böswilliger Seitenbetreiber das Facebook-Formular vortäuschen und den Anwender verleiten, seine Login-Daten in ein gefaktes Facebook-Login-Formular einzugeben und sich somit die Daten erschleichen.

Wäre wohl eine Form des Fishing, ähnlich wie so manche Spam-Mail den Leser verleiten soll, seine Bank-, Amazon-, sonstwas-Login-Daten in ein vorgetäuschtes Login-Formular einzugeben.
 
Eigentlich kann man ja nur hoffen, daß das gewaltig schiefgeht. Anders lernen's die Leute ja nie. <eg>
 
Facebook ist mittlerweile zu einem Spielfeld der CIA geworden.
 
@WinkWink: Was hat das (auch unabhängig von ihrem Wahrheitsgehalt) mit der Newsmeldung zu tun... ?
Kommentar abgeben Netiquette beachten!

Facebooks Aktienkurs in Euro

Facebooks Aktienkurs - 6 Monate
Zeitraum: 6 Monate

Der Facebook-Film im Preis-Check