Kommentare zu: Twitter: Unverzeihliche Sicherheitslücke (Update)

Von: Lioman

Lioman — Tue, 02 Nov 2010 10:04:12 +0000

Das ist wirklich eine Lücke. Allerdings sollte man sich einfach IMMER über SSL verbinden. Das gilt auch für Facebook, Webmail usw. Für den Firefox gibt es dazu die Erweiterung HTTPS Everywhere der EFF https://www.eff.org/https-everywhere

Von: Links des Tages vom 01.11.2010 » 3d-print, Apple, reich werden, Spiel, spielehandy, tablet » Digital Life

Mon, 01 Nov 2010 20:10:08 +0000

[...] Tree Post: Unverzeihliche Sicherheitslücke (Update) Eigentlich ganz schön krasse [...]

Von: René Fischer

René Fischer — Mon, 01 Nov 2010 18:55:54 +0000

Ging früher (TM) definitiv nicht: http://blog.renefischer.ws/weve-temporarily-locked-your-account-after-to

Von: Enno Park

Enno Park — Mon, 01 Nov 2010 16:24:28 +0000

Hmm… naja. Dann müsste ich mir aber über diese Mails und die einzelnen Token Gedanken machen. Mit einem Klick sehr schnell allen alles entziehen, fände ich wesentlich besser. Muss man halt hier und da sein Passwort neu eingeben, was nicht weiter schlimm ist. Damit filtert man auch immer mal wieder die Dienste raus, die man eigentlich gar nicht nutzt, mit denen man sich aber mal angemeldet hat.

Von: Lars Trebing

Lars Trebing — Mon, 01 Nov 2010 16:22:03 +0000

Stimmt, das ist ein Aspekt. Wäre dann aber sinnvoller dadurch zu lösen, daß man in der Token-Übersicht jedes einzelne Token anzeigt und den Benutzer über jedes neu zugeteilte Token benachrichtigt (z. B. per E-Mail).

Von: Enno Park

Enno Park — Mon, 01 Nov 2010 16:18:38 +0000

@Lars OK, hier das Szenario: Ich nutze Tweetdeck. Ein Angreifer erntet mein Passwort und loggt sich mit Tweetdeck ein. Ich ändere mein Passwort. Jetzt nutzen wir beide Tweetdeck. Dass es zwei verschiedene Tweetdeck-Installationen auf verschiedenen Rechnern gibt, wird dabei in den Einstellungen auf Twitter.com nicht angezeigt. Ich kann nur Tweetdeck die Benutzung einmal insgesamt verbieten. Ich habe das gerade auf zwei Rechnern, auf denen ich parallel ein Tweetdeck drauf habe, nachvollzogen: Funktioniert einwandfrei. Wer also aus Sicherheitsgründen sein Passwort ändert, muss dann auch manuell verschiedenen Apps die Tokens entziehen. Im Zweifel allen.

Von: Lars Trebing

Lars Trebing — Mon, 01 Nov 2010 15:32:01 +0000

OK, meinetwegen funktioniert es auch auf manchen Mobilgeräten ohne erneute Paßworteingabe. Aber welchen Vorteil hätte es denn, mit jeder Paßwortänderung sämtliche Tokens zu verwerfen? API-Tokens (und API-Zugriffe) laufen bei vernünftigen Anwendungen komplett über SSL, im Gegensatz zur Web-Oberfläche, die für die Ausgabe von OAuth-Tokens benutzt wird. Angenommen, ich habe gestern mein Twitter-Paßwort geändert und komme heute abend in irgendeinem unverschlüsselten WLAN auf die Idee, Tweetie zum ersten Mal seit gestern wieder zu benutzen. Statt daß (wie es jetzt der Fall ist) einfach alles über SSL läuft und gut, müßte ich dann also erstmal mein Cookie unverschlüsselt durch die Gegend schleudern, um ein neues Token zu kriegen. Jetzt erklär mir mal jemand den daraus entstehenden Sicherheitsgewinn …

Die nach dem Abmelden gültig bleibenden Cookies sind absoluter Mist, aber daß Tokens nach Paßwortänderung gültig bleiben, ist sehr gut und soll auch so bleiben.

Von: Enno Park

Enno Park — Mon, 01 Nov 2010 15:16:12 +0000

@Lars “Mit einem Klick” – auf dem Desktop brauche ich so gut wie nie das Passwort einzugeben, weil die Session im Browser schon steht. Auf dem Palm scheint TweetMe einen Browser zu öffnen, um es abzuwickeln – auch da geht es mit einem Klick. Tweed hingegen verlangt die Eingabe von Namen und Passwort in der App, um das selbst abzuwickeln.

Von: Lars Trebing

Lars Trebing — Mon, 01 Nov 2010 14:41:11 +0000

Die Älteren unter uns können sich wahrscheinlich noch daran erinnern, daß vor ziemlich genau zwei Monaten manche Bots und Anwendungen nicht mehr funktionierten. Das lag daran, daß Twitter seit dem 1. September den API-Zugriff nur noch über OAuth zuläßt – vorher war es in der Tat anders als jetzt. :)

Von: Enno Park

Enno Park — Mon, 01 Nov 2010 14:35:03 +0000

Es war mal anders. Zumindest von Tweed weiß ich, dass sie auch mal Sessions benutzt haben. Jetzt die interessante Frage: Auch das Token muss bei Zugriffen übertragen werden. Kann es nicht abgegraben werden? (Die Nutzung wäre gegenüber einer Session allerdings eingeschränkte, da jeder Dienst ein anderes Token hat.)

Von: Lars Trebing

Lars Trebing — Mon, 01 Nov 2010 14:30:58 +0000

Mit einem Klick? Bei Desktop-Anwendungen (wenn der Browser eh immer ein passendes Twitter-Cookie hat) mag das noch stimmen, aber z. B. auf dem iPhone sieht das eher so aus, daß man für jede Anwendung, die ein neues Token will, mal eben das Paßwort eintippen darf. Was die Motivation für häufige Paßwortänderungen ja deutlich erhöht …

Von: coretex

coretex — Mon, 01 Nov 2010 14:27:00 +0000

Dass externe Dienste auch nach Passwortwechsel, oder Wechsel des Benutzernamens funktionieren hat Twitter mal irgendwo als gewolltes Feature argumentiert. Wenn man die aussperren will muß man deren Genehmigungen unter >>Einstellungen>>Verbindungen widerrufen.

Soll Komfort sein, ist für mich aber auch eher eine unnötige Sache.

So ein OAuth Token wäre mit einem Klick neu zu autorisieren.
Spätestens beim Passwortwechsel sollten die vergebenen Token als ungültig werden.

Von: Lars Trebing

Lars Trebing — Mon, 01 Nov 2010 14:21:40 +0000

Apps authentifizieren sich nicht mit Benutzername/Paßwort, sondern mit OAuth-Token. Das bleibt unabhängig von Paßwörtern gültig, bis man es unter http://twitter.com/settings/connections löscht.

Von: Enno Park

Enno Park — Mon, 01 Nov 2010 14:09:14 +0000

@marc stimmt, da hast du recht.

Von: marc

marc — Mon, 01 Nov 2010 14:03:18 +0000

Ja, das mit den Sessions ist eine “interessante” Sache, aber aus dem Passwort ändern wird nix: Dazu benötigt man das aktuelle Passwort :)

Ist der Twitter-Login eigentlich verschlüsselt? Weil sonst könnte man das Passwort ja gleich dort abfangen, und dann kann man wirklich alles machen …