Web-Sicherheit

Juli 28, 2011

Nächste Panne bei Facebook

Filed under: Allgemein — sebastiankuebeck @ 06:22
Tags: , , , , ,

Forscher von Microsoft fanden eine Lücke in dem Mechanismus, der Facebook-Benutzer vor Clickjacking-Angriffen schützen soll. Bei Clickjacking handelt es sich um ein Täuschungsmanöver, bei dem ein Angreifer auf die Seite von Facebook einblendet und teilweise mit eigenen Inhalten überdeckt. Ein Angreifer kann so das Facebook-Konto des Opfers komplett übernehmen und alles damit machen, was der legitime Benutzer auch darf, also sämtliche Kontoeinstellungen inklusive Sicherheitseinstellungen ändern und Nachrichten mit dem Namen des Opfers versenden.

Schützen kann man sich vor diese Art Angriffe mit den gleichen Maßnahmen, die auch gegen die Cross-Site-Request-Forgery-Schwachstelle helfen und das geht wie folgt:

  1. Melden Sie sich bei Facebook ab und deaktivieren Sie die Einstellung „angemeldet bleiben“ beim Einloggen. So haben Sie selbst die Kontrolle darüber, wann Sie bei Facebook angemeldet sein wollen und wann nicht.
  2. Schließen Sie alle Browserfenster und Tabs bevor Sie sich auf Facebook anmelden und melden Sie sich ab, wenn Sie eine andere Seite besuchen wollen.
  3. Melden Sie sich niemals bei Facebook an, wenn sie auf einer Fremden Webseite dazu aufgefordert werden und erlauben Sie keiner fremden Seite, sich mit Facebook in Verbindung zu setzten, sollten Sie dazu aufgefordert werden.

Laut Angaben der Forscher wurde Facebook bereits informiert.

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: