Microsoft reagiert auf Cookie-Klau-Tool Firesheep [Update]
Die Resonanz auf das Plug-in war gewaltig. Der Softwarekonzern will seine Mail-Dienste nun durchgehend verschlüsseln, Facebook will in den nächsten Monaten nachziehen.
- Daniel Bachfeld
Die Entwickler von Firesheep stehen zwar weiterhin unter heftiger Kritik für die Veröffentlichung ihres Cookie-Klau-Plug-ins. Allerdings haben sie damit bereits bewirkt, dass Microsoft nun seinen E-Mail-Dienst Hotmail/Windows Live komplett auf SSL umstellen will. Das berichtet die US-Newseite Digital Society. Die Umstellung soll noch im November erfolgen.
Bislang war standardmäßig nur die Übertragung der Anmeldedaten im Browser verschlüsselt, die anschließende Übertragung der Seiten und des Anmelde-Cookies erfolgte im Klartext. Firesheep ist in der Lage, etwa in öffentlichen WLANs diese Daten zu sammeln und zum Zugriff auf fremde Konten bereit zu stellen. Das Tool ist so einfach zu bedienen, dass auch Skript-Kiddies etwa im Starbucks nebenan damit Schindluder treiben können.
Tools wie FireShepard versuchen die Datenkollekte von Firesheep zu stören, indem sie das WLAN mit Daten zumüllen und das Plug-in damit zum Absturz bringen. Das grundlegende Problem löst dieser Gegenangriff jedoch nicht. Plug-ins wie HTTPS Everywhere für Firefox können immerhin eine automatische Umleitung auf SSL-gesicherten Seiten vornehmen – aber nur, wenn der Server dies auch unterstützt.
Facebook hat angekündigt, für die nicht durchgängige Verschlüsselung der Verbindung in den kommenden Monaten eine Lösung parat zu haben. Bis dahin solle man beim Senden und Empfangen von Daten in öffentlichen WLANs vorsichtig sein. Betroffen sind noch viele weitere Dienste und Seiten, darunter Twitter, Flickr und Amazon.
Ein Anekdote zu praktischen Tests mit Firesheep erzählt der Entwickler Gary LosHuertos in seinem Blog. Nach dem Sammeln von mehreren Zugriffsdaten für Facebook und andere Konten in einem Starbucks-Cafe versuchte er, die Opfer auf das Problem aufmerksam zu machen. Dazu sendete er teilweise über deren eigene Facebook-Konten Warnungen, dass man auf ihre Konten zugreifen könne.
Einige reagierten zwar, indem sie sich kurz abmeldeten. Kurze Zeit später waren sie aber wieder "drin" und reagierten auf weitere Warnungen nicht mehr. LosHuertos' Fazit seines kurzen Tests: Die eigentliche Sicherheitslücke liegt immer in der (falschen) Einschätzung der Bedrohung durch den Anwender.
[Update:] Microsoft hatte schon im September angekündigt, Hotmail durchgehend verschlüsseln zu wollen. Somit ist dies doch keine direkte Reaktion auf Firesheep. (dab)
