Die Registrierung mit Benutzernamen, Mail-Adresse und Kennwort wird h\u00e4ufig ersetzt durch die Anmeldung mit Google, Twitter oder Facebook. Das kann gef\u00e4hrlich werden.<\/p>\n
<\/p>\n
Immer mehr Dienste im Internet ersparen ihren Kunden die langwierige Registrierung mit Benutzernamen, E-Mail-Adresse und Kennwort. Stattdessen hei\u00dft es: anmelden mit Google, Twitter oder Facebook. Man hat sich an die Schaltfl\u00e4chen gew\u00f6hnt, einige Angebote lassen sich schon gar nicht anders nutzen. Auch bei Smartphone-Apps erfreut sich das Verfahren gro\u00dfer Beliebtheit. Die dahinter steckende Identit\u00e4tspr\u00fcfung und Authentifizierung verl\u00e4uft stets nach demselben Schema: Von der Web-Anwendung wechselt man beispielsweise zu Facebook, wo man sein Benutzer-Login vornimmt. Anschlie\u00dfend kommt die Frage, ob man den Zugriff der Web-Anwendung erlauben will. Damit ist die Authentifizierung abgeschlossen, ohne dass man seine Facebook-Zugangsdaten mitgeteilt h\u00e4tte. Man wird zur urspr\u00fcnglichen Anwendung zur\u00fcckgeleitet und kann hier nun loslegen.<\/p>\n
Auf diese Weise reist man quasi huckepack durchs Internet, getragen von Google, Twitter oder Facebook. Der Nutzer hat den Vorteil des erleichterten Einbuchens und der Anbieter die Gewissheit, dass seine Kunden reale Menschen sind, die sich bei Google, Twitter oder Facebook bereits legitimiert haben. Seit Jahren gelten diese Login-Verfahren als schick und sicher, sie laufen unter OAuth, Open Standard for Authorization.<\/p>\n
Wir meinen jedoch, dass man vorsichtig sein sollte mit OAuth, das mittlerweile in Version 2 vorliegt. Man ist n\u00e4mlich nicht durchg\u00e4ngig gesch\u00fctzt, wenn diebische Web-Anwendungen darauf abzielen, pers\u00f6nliche Daten zu stehlen. W\u00e4hrend das Nutzen von Web-Anwendungen durch das beschriebene Huckepack-Verfahren vergleichsweise sicher ist und die gew\u00e4hrten Zugriffsrechte jederzeit widerrufen werden k\u00f6nnen, l\u00e4sst es zum Beispiel Facebook zu, dass Web-Anwendungen die hinterlegte E-Mail-Adresse abfischen. Setzt OAuth bei der \u00dcbermittlung von Nutzerinformationen auf Tokens, also auf chiffrierte Zeichenketten, wird die E-Mail-Adresse von Facebook ohne jede Verschl\u00fcsselung im Klartext an Dritte weitergeleitet, wenn man die OAuth-Anmeldung vornimmt. Und damit ist auch gleich klar, dass es keinen Widerruf gibt.<\/p>\n
Wir sind der Sache auf die Spur gekommen, weil in unserem nur f\u00fcr Facebook genutzten E-Mail-Postfach pl\u00f6tzlich Spam landete. Dieser wurde verschickt von zwei verschiedenen App-Herstellern. Die entsprechenden Web-Anwendungen hatten wir im vergangenen Jahr nur kurz ausprobiert – und anschlie\u00dfend alle Zugriffsrechte widerrufen, was aus den beschriebenen Gr\u00fcnden nichts bringt.<\/p>\n
Facebook geht das Problem mit der \u00fcblichen Naivit\u00e4t an: Autorisierte Anwendungen d\u00fcrften durchaus auf die E-Mail zugreifen, \u201eum den Nutzer zu benachrichtigen\u201c. Aber warum erhalten sie daf\u00fcr die vollst\u00e4ndige E-Mail-Adresse? Sie k\u00f6nnten ja \u00fcber Facebook senden, abermals im Huckepack-Verfahren. Facebook meint: Wenn mit der E-Mail-Adresse Unfug getrieben w\u00fcrde, m\u00f6ge man sich melden. Alle Apps m\u00fcssten sich \u201ean unsere Plattform-Richtlinien halten. Wir reagieren sehr schnell auf Meldungen, dass Apps nicht in Ordnung sind\u201c.<\/p>\n