Facebook Sicherheit



  • Hi,

    mittlerweile denke ich ja, dass man auf Facebook nicht ohne Weiteres Daten über Benutzer herausfinden kann, wenn man sein Profil so eingestellt hat, dass das meiste nur über Freundesbeziehungen gelesen werden kann.

    Ich weiß aber nicht, wie sicher das ist. Mein erster Versuch ging über Google. Da habe ich über mich nichts herausfinden können.

    Dann habe ich über das Graphenframework gehört. Ich glaube, da konnte man eine Zeit lang (noch?) die Freunde eines Benutzers sehen. Ich habe das nicht komplett durchstöbert, aber ich glaube, man kann dadurch nicht soo viel herausfinden. Ich habe auch mal Photos in Mini-Miniaturformat gefunden irgendwann, aber die sind natürlich auch irrelevant.

    Und dann gibt es ja noch dieses Firesheep, was in irgendwelchen Foren als gefährlich abgetan wird. Aber das nutzt hauptsächlich Sniffing, habe ich gelesen. Also bringt das ja auch nur was, solange man in einem Netzwerk ist, in dem sich auch ein Angreifer befindet. Das macht einen anfällig, wenn man öffentliche Netzwerke benutzt, was aber eh klar ist.

    Javascript-Injections sollten ja eigentlich gefiltert werden. Fiese Links können gefährlich sein, aber da klickt man halt besser nur drauf, wenn man die Leute kennt... nur blöd, wenn die vorher schon irgendwo draufgeklickt haben und die Cookies damit übertragen wurden. Sind die Cookies denn anständig verschlüsselt, sodass die nichts bringen?

    Wo gibt es weitere Sicherheitslücken? Oder ist das relativ sicher?

    Bin gespannt 😉



  • Du hast den Zugriff auf deine Daten zwar auf Freunde beschränkt und vertraust deinen Fähigkeiten sich nicht überlisten zu lassen. Aber gilt dieses Vertrauen auch für alle deine Freunde? Wenn nur einer sich überlisten lässt, hat der Angreifer auch alle Daten, die du mit Freunden teilst.



  • Eisflamme schrieb:

    mittlerweile denke ich ja, dass man auf Facebook nicht ohne Weiteres Daten über Benutzer herausfinden kann, wenn man sein Profil so eingestellt hat, dass das meiste nur über Freundesbeziehungen gelesen werden kann.

    Und dass Facebook deine Daten nicht hergibt weisst du woher?

    Ich weiß aber nicht, wie sicher das ist. Mein erster Versuch ging über Google. Da habe ich über mich nichts herausfinden können.

    Alle Daten die du ins Internet stellst sind oeffentlich. Auch wenn du Privatsphaeren Einstellungen triffst - Facebook hat die Nutzungsrechte deiner Daten und kann praktisch machen was sie wollen.

    Dann gibt es auch noch das Problem der Sicherheitsluecken. Facebook ist technisch gesehen ziemlich Steinzeit. Es gibt regelmaessig Fehler in den Entwickler APIs.

    Dann habe ich über das Graphenframework gehört. Ich glaube, da konnte man eine Zeit lang (noch?) die Freunde eines Benutzers sehen. Ich habe das nicht komplett durchstöbert, aber ich glaube, man kann dadurch nicht soo viel herausfinden. Ich habe auch mal Photos in Mini-Miniaturformat gefunden irgendwann, aber die sind natürlich auch irrelevant.

    OpenGraph ist eine dieser APIs von FaceBook.
    Sie hat oft Fehler und man kann immer mal wieder private Daten auslesen.

    Ansonsten kannst du einer App Rechte geben deine privaten Daten auszulesen. Das geht zB auch ueber Clickjacking, also ohne dein Wissen.

    Und dann gibt es ja noch dieses Firesheep, was in irgendwelchen Foren als gefährlich abgetan wird. Aber das nutzt hauptsächlich Sniffing, habe ich gelesen. Also bringt das ja auch nur was, solange man in einem Netzwerk ist, in dem sich auch ein Angreifer befindet. Das macht einen anfällig, wenn man öffentliche Netzwerke benutzt, was aber eh klar ist.

    Ja. Das funktioniert ueber Cookie Sniffing. Da aber FaceBook jetzt auf SSL setzt, ist FireSheep fuer FaceBook nutzlos geworden.

    Javascript-Injections sollten ja eigentlich gefiltert werden. Fiese Links können gefährlich sein, aber da klickt man halt besser nur drauf, wenn man die Leute kennt...

    Es gibt immerwieder JavaScript Wuermer auf FaceBook. Die koennen natuerlich deine privaten Daten auslesen.

    nur blöd, wenn die vorher schon irgendwo draufgeklickt haben und die Cookies damit übertragen wurden. Sind die Cookies denn anständig verschlüsselt, sodass die nichts bringen?

    Cookies liegen in Klartext vor. SSL verschluesselt die Uebertragung der Daten. Aber wenn ein JavaScript im Kontext der Seite ausgefuehrt wird, hat es Zugriff auf die Cookie Daten.

    Wo gibt es weitere Sicherheitslücken? Oder ist das relativ sicher?

    Es gibt sonst auch noch andere Angriffe wie zB Clickjacking, Cross-Site Request Forgery,... und natuerlich Social Engeneering. zB brauche ich nicht unbedingt deinen Account um deine Daten auszulesen. Wenn ich zB den Account von einem Freund von dir habe, sehe ich alle deine Daten ja auch.

    Oder: ich brauche Zugriff auf eine App die du als Vertrauenswuerdig eingestuft hast.

    Weiters ist es ja auch so, dass ich eine Menge ueber dich erfahren kann von den Personen die dich kennen und keine guten Privatsphaeren Einstellungen haben.

    Deshalb: alle Daten die man ins Internet stellt sind oeffentlich.



  • Okay, danke, hat mir ein paar Infos gegeben. 🙂 Eigentlich ist eh nichts von dem, was ich hochladen, wirklich privat, also ist es egal, hat mich nur Mal interessiert.


Log in to reply