Gravierende Sicherheitslücken?

TRIER. Daniel Fett, Ralf Küsters und Guido Schmitz von der Professur für Informationssicherheit und Kryptographie an der Uni Trier haben das von Mozilla entwickelte Login-System “Persona” analysiert und nach eigener Darstellung “gravierende Sicherheitslücken” entdeckt.

Die Forscher fanden heraus, dass sich Hacker mit beliebigen E-Mail-Adressen von Google- oder Yahoo-Benutzern bei einer Webseite anmelden können. Über diese Zugänge sei es den Hackern möglich, Daten aus fremden Benutzerkonten auszuspähen und zu verändern, heißt es in einer Mitteilung der Hochschule.

Webseiten bieten immer öfter Möglichkeiten wie “Login mit Facebook” oder “Anmelden mit Google”. Bei diesem sogenannten Single-Sign-On (SSO) dient das vorhandene Facebook- oder Google-Konto als “Ausweis” gegenüber der Webseite. Ein neues Passwort wird überflüssig. Der Nachteil: Google und Facebook haben Kontrolle darüber, wann und wo sich ihre Benutzer einloggen.

Mozilla, die Entwickler des Firefox-Browsers, hätten mit dem SSO-System “Persona” einen neuen Ansatz verfolgt, bei dem Datenschutz im Vordergrund stehe, so die Forscher. Wann und bei welchen Internetseiten ein Benutzer sich einloggt, erfahre kein Dritter, habe das Versprechen gelautet.

Bevor die Wissenschaftler auf diese Mängel öffentlich hinwiesen, hätten sie Mozilla darauf aufmerksam gemacht. Mittlerweile sei die Sicherheitslücke geschlossen, berichten sie. Dem Grundkonzept von “Persona” stellen die Trierer Forscher hingegen ein gutes Zeugnis aus: “Es hebt sich, neben einigen technischen Vorteilen, durch seinen datenschutzfreundlichen Ansatz wohltuend von anderen System ab”, sagt Professor Ralf Küsters. Er warnt aber zugleich davor, Anwendungen blind zu vertrauen: “Sicherheitslücken verstecken sich meist in subtilen Details und sind oft nicht auf einen Blick auszumachen.” Deshalb entwickeln die Informatiker um Ralf Küsters seit vielen Jahren Verfahren für die Sicherheitsanalyse von Internet-Anwendungen.

Die Forscher der Universität Trier stellen ihre Ergebnisse im Mai auf der renommierten IT-Sicherheitskonferenz „Security and Privacy 2014″ in San Jose (Kalifornien) vor.

Print Friendly

von

Schreiben Sie einen Leserbrief

Angabe Ihres tatsächlichen Namens erforderlich, sonst wird der Beitrag nicht veröffentlicht!

Bitte beachten Sie unsere Kommentarrichtlinien!

Noch Zeichen.

Bitte erst die Rechenaufgabe lösen! * Time limit is exhausted. Please reload the CAPTCHA.

Unterstützen

In Evernote merken