33C3: Hartnäckige Datenschutzprobleme bei Einlogg-Dienst per Facebook & Co.
Die Sicherheit beim Authentisierungsservice OAuth 2.0 sei mittlerweile "formal nachgewiesen", konstatierten Forscher auf dem Hackerkongress. Für den Datenschutz gebe es dabei aber noch immer keine praktische Lösung.
(Bild: dpa, Stephan Jansen)
Die Sicherheitsexperten Guido Schmitz und Daniel Fett haben vor anhaltenden Mängeln bei der Gewährleistung der Privatsphäre der Nutzer bei sogenannten Single-Sign-on-Diensten gewarnt. Die Sicherheit sei beim Authentisierungsprotokoll OAuth 2.0, mit dem viele Online-Portale die Anmeldung über Facebook-Kennungen erlauben, inzwischen "formal nachgewiesen". Datenschutz garantiere er aber nicht, erklärte Schmitz.
Facebook weiß, wo du dich anmeldest
Facebook, Google und andere Authentisierungsanbieter bekommen bei OAuth mit, welche Drittparteien die Lösung einsetzen. So können sie über diese Webseiten personenbezogene Daten der Nutzer sammeln und etwa für zielgerichtete Werbung verwenden.
Mit einem anderen Ansatz war Mozilla mit dem dezentralen Angebot Persona alias BrowerID angetreten. Dabei sollten E-Mail-Anbieter als Identitätszeugen zwischengeschaltet und vom ständigen Datenfluss abgeschnitten werden. Daniel Fett zufolge funktionierte dies aber aufgrund technischer Fehler nicht. Mozilla stellte den weitgehend erfolglosen Dienst im Januar ein.
Schwachstellen bei OAuth
Die beiden Kryptologen hatten vor rund einem Jahr zusammen mit ihrem Mitstreiter Ralf Küsters mehrere Schwachstellen bei OAuth 2.0 publik gemacht. Auf dieser Basis "konnten erfolgreiche Attacken auf reale Implementierungen" durchgeführt werden, unterstrich Schmitz nun. Zur Zeit der Veröffentlichung waren die Lücken aber bereits nach einer Warnung der Zuständigen geschlossen.
Mittlerweile hätten Gespräche mit der OAuth-Arbeitsgruppe der Internet Engineering Task Force (IETF) stattgefunden, führte Schmitz aus. Im Juni habe sei rund um die aufgedeckten Angriffspunkte auch ein Workshop abgehalten worden. Nun sei ein neuer Standardentwurf in Form eines RFC (Request for Comments) in Arbeit.
Vorschlag für sichere Authentisierung
Parallel haben die Sicherheitsforscher mit Spresso (Secure & Private Single Sign-On for the Web) auf Basis ihrer bereits bestehenden formalen Prüfmatrix eine Skizze für sicheren Authentisierungsdienst entwickelt, der zugleich auch den Datenschutz gewährleisten soll.
Das Grundprinzip orientiert sich dabei an Persona, die Wissenschaftler haben aber eine zusätzliche dritte Instanz eingeführt, die Zertifikate und Nutzerzuschreibungen weiterleitet. Der Browser soll dann prüfen, ob ein Bestätigungsfenster von der richtigen Stelle kommt, Schadcode automatisch außen vorgehalten werden. Es handle sich um eine Machbarkeitsstudie, berichtete Fett, die sich vor allem an Entwickler wende. (akr)
