Facebook hat seine Entwickler-Community dazu aufgerufen, Apps zu programmieren, die HTTPS unterstützen. Auch mobile Geräte will das Social Network künftig besser gegen Attacken schützen. Vergangenen Monat hatte Facebook eine Möglichkeit bereitgestellt, Sitzungen Ende zu Ende per HTTPS zu verschlüsseln.
Manche Apps fordern Nutzer dazu auf, wieder auf eine ungesicherte Verbindung umzusteigen, weil sie HTTPS nicht unterstützen, wie Sean Sullivan von der Sicherheitsfirma F-Secure festhält.
Der Wechsel gilt allerdings nicht nur für die Nutzung der App, sondern für alle Verbindungen. HTTPS muss in den Sicherheitseinstellungen wieder neu aktiviert werden. Auf Anfrage von ZDNet erklärte ein Facebook-Sprecher, das Unternehmen arbeite daran, das Problem zu beheben.
„Wir drängen unsere Entwickler von Drittanwendungen dazu, HTTPS so schnell wie möglich zu unterstützen“, heißt es in einer E-Mail des Firmensprechers. „Dennoch sehen wir, dass es eine Reihe von Unstimmigkeiten im Prozess gibt.“ Man arbeite daran, das Umschalten auf HTTP zur Nutzung einer Applikation auf eine Sitzung zu beschränken. Beim nächsten Log-in kehrt das Konto zu einer gesicherten Verbindung zurück. „Wir testen diesen Ablauf im Moment und hoffen, dass wir die Funktion in naher Zukunft herausbringen können.“
Laut Dan Wallach, Professor an der Rice University, ist die HTTPS-Option auf die Website beschränkt. Er nutzte das Netzwerkprotokoll-Analysetool Wireshark und den Proxy Mallory, um sein eigenes Android-Smartphone zu hacken. Obwohl er HTTPS in seinen Kontoeinstellungen aktiviert hatte, wurden die Sitzungsdaten unverschlüsselt übertragen.
Auf Anfrage von ZDNet teilte Facebook mit, es werde SSL in den kommenden Monaten auch für mobile Geräte zur Verfügung stellen. „Wir testen SSL momentan auf allen Facebook-Plattformen“, erklärte ein Sprecher. „Wie immer raten wir unseren Mitgliedern zur Vorsicht, wenn sie Daten über ungesicherte WLAN-Netze senden oder empfangen.“
Facebook hatte die Option „Secure Browsing“ im Januar zunächst in den USA ausgerollt. Sie steht mittlerweile unter der Bezeichnung „Sicheres Durchstöbern (https)“ auch hierzulande zur Verfügung und lässt sich in den Kontoeinstellungen aktivieren.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…