Ich weiß gar nicht, ob Ihr es schon wusstet, aber wer sich in einem öffentlichen WLAN in seinen Facebook-Account loggt, der könnte eigentlich auch gleich Flugblätter mit seinen Zugangsdaten verteilen. Hat nämlich jemand die Firefox-Erweiterung Firesheep installiert, kann er mal eben jeden gerade offenen Account übernehmen. Wie Valleywag berichtet, hat ein Blogger in einem New Yorker Star Bucks in nur einer halben Stunde 20-40 Facebook-Identitäten gestohlen. Betroffen sind übrigens u.a. auch Amazon, Dropbox, Flickr, Foursquare, Google, Twitter oder WordPress.
Facebook jedenfalls schafft nun Abhilfe und führt seit heute das sichere Browsen über HTTPS ein, wie man es z.B. vom Online-Banking her kennt. Allerdings wird es noch ein paar Wochen dauern, bis auch der letzte User diese Option(!) verfügbar hat. Richtig gelesen: Option! Das so wichtige Sicherheits-Feature wird als Option in den Kontoeinstellungen angeboten und nicht standardmäßig voreingestellt. Also behaltet den Bereich im Auge und setzt sofort ein Häckchen, sobald Ihr es könnt. Ihr findet die Einstellungsmöglichkeit dann unter Konto > Kontoeinstellungen > Kontosicherheit (der dritte Punkt von unten).
So sieht es aktuell aus:
Und so später:
Das HTTPS-Browsen ist übrigens zwar eine Abhilfe für die Website, nicht aber für die iPhone-App. ^^
Update (30.01.2010): Es gibt eine Möglichkeit schon jetzt und auch für andere Sites automatisch mit HTTPS zu surfen: HTTPS Everywhere. (Danke an Gunnar und Christoph für den Tipp in den Kommentaren!)
Update (14.02.2010): WICHTIGER HINWEIS: Es gibt Seiten innerhalb Facebooks (z.B. von Apps), die nicht per HTTPS erreicht werden können. Es kommt hier eine Abfrage, dass man in den normalen HTTP-Modus zurückkehrt. Okay, kann man – je nachdem – mal machen. Aber bitte hinterher unbedingt daran denken, die HTTPS-Option wieder zu aktivieren! Das geschieht (leider) nicht automatisch!!
#1 von Gunnar am 27. Januar 2011 - 15:51
Ich benutze https Wverywhere als kleinen firefox Plugin. Das sollte derartige Sicherheitsprobleme umgehen.
https://www.eff.org/https-everywhere
#2 von Ralf Heinrich am 27. Januar 2011 - 16:01
Danke für den Hinweis, Gunnar!
#3 von Sandra am 27. Januar 2011 - 16:47
Danke für den Hinweis!
Was ich jedoch in Marokko schon gemerkt habe: Facebook merkt sich von wo aus und mit welchem Browser du dich normalerweise einloggst (Konotsicherheit -> neueste Aktivität). Loggst du dich nun von einem ganz anderen Ort ein, registriert facebook das und lässt dich nicht sofort rein. In Marokko beispielsweise musste ich mich quasi “ausweisen”. Da gibt es 3 Möglichkeiten: Eine SMS auf’s Handy, eine eMail an deine hinterlegte eMail-Adresse oder (und nun kommt das geilste) es werden dir Fotos von 5 Freunden gezeigt. Diese musst du benennen können.
Erst dann wirst du in facebook reingelassen! Fand ich nervig, aber ziemlich sinnvoll
#4 von Gino am 28. Januar 2011 - 00:45
Gefaellt mir sehr der Blog. Gute Themenwahl.
#5 von Gregor K. am 28. Januar 2011 - 15:17
@Sandra. Die gleich Erfahrung hab ich im Ausland auch gemacht.
Ich finde es nur blöd von Facebook, dass sie so lange warten bis sie etwas an der Sicherheit hochdrehen obwohl man es als Kunde für selbstverständlich hält!