Facebooks kruder https-Workaround

Wer in Facebook Verschlüsselung aktiviert und dann eine Facebook-App verwendet, schaltet die Sicherung damit gleich wieder komplett ab.

In Pocket speichern vorlesen Druckansicht 72 Kommentare lesen
Lesezeit: 2 Min.

Vor wenigen Tagen hat Facebook die Option eingeführt, das soziale Netz komplett über verschlüsselte Verbindungen zu benutzen. Dabei gab es zwar bereits den Hinweis, dass das nicht mit allen Facebook-Anwendungen anderer Hersteller funktioniere. Doch wie Facebook mit dieser Inkompatibilität umgeht, ist dann doch überraschend.

Klickt man auf den Link zu einer Facebook-App fragt Facebook nach, ob man zu einer "regulären Verbindung (http)" wechseln möchte, weil man diese Inhalte nicht anzeigen könne, während man Facebook über eine "sichere Verbindung (https)" benutzt. Klickt der Anwender auf "Weiter" landet er wie angekündigt auf einer ungeschützten http-Seite. Das Problem dabei ist jedoch, dass Facebook im Hintergrund die https-Option in den Konto-Einstellungen deaktiviert hat. Es gibt dabei keinen Hinweis, dass es sich bei dem Wechsel nicht um eine temporäre Umleitung für diese eine App handelt sondern dass Facebook die Verschlüsselung wieder komplett abschaltet.

Das ist der einzige Hinweis, dass Facebook die Verschlüsselung für das Konto komplett abschaltet.

Wer um die Sicherheit seines Kontos besorgt ist, klickt also entweder auf "Abbrechen" oder er muss das "sichere Duchstöbern" danach in den Konto-Einstellungen von Hand wieder aktivieren. Erst mit dieser Verschlüsselungs-Option werden alle Facebook-Inhalte gesichert übertragen. Ohne sie kann etwa ein Script-Kiddie im gleichen Netz das Sitzungs-Cookie mitlesen und damit Facebook-Konten anderer Anwender kapern. Dieses Problem ist eigentlich seit langem bekannt, wurde aber erst durch das einfach zu benutzende Tool Firesheep einer breiteren Öffentlichkeit richtig bewusst. Bei manchen Anwendern erscheint die Verschlüsselungs-Option noch nicht; sie wird wird derzeit schrittweise eingeführt.

(ju)