ELEXPRESS.de |

Heute hat Facebook endlich zahlreiche Sicherheitsmaßnahmen ergriffen, um das Soziale Netzwerk deutlich sicherer zu machen. Scheinbar und glücklicherweise sind die Spamwellen der letzten Zeit auch nicht am Facebook Team vorbeigegangen. Ich möchte die neu eingeführte Sicherheitsvorkehrungen hier einmal zusammenfassen.

Partnerschaft mit dem Web of Trust

Mit dieser Partnerschaft werden nun alle Links hinsichtlich Viren, Malware, Phishing und anderen ungewünschten Effekten untersucht. Allerdings werden hierdurch auch wirklich nur die Webseiten erkannt, die auch von WoT Mitgliedern bewertet wurden. Somit muss man nach wie vor noch sehr genau prüfen, welchen Links man trauen kann und welchen nicht.

Clickjacking Schutz: Ungewollte “Gefällt mir” Klicks

Bereits Anfang Dezember 2010 hatte ich dem Facebook Sicherheitsteam eine Meldung über diese Lücke zugeschickt. Doch scheinbar mussten erst diese zahlreichen spamartigen Videoportale ab Januar 2011 kommen, damit Facebook nun endlich mal etwas unternommen hat. Konkret haben die Spammer den “Gefällt mir”-Button unsichtbar dargestellt und ihn via Java Script die ganze Zeit an die Position des Mauszeigers verschoben. Es reichte also ein Klick eines Facebook Nutzers irgendwo auf der Webseite, um ohne es zu merken auf “Gefällt mir” zu klicken. Zum einen gibt es nun eine Blacklist von bekannten Seiten, welche diese Masche ausnutzen. Weiterhin wird an einem System gearbeitet, sodass Opfer dieser Masche nachträglich darüber benachrichtigt werden können. Wenn ein proaktiver Algorithmus weiterhin etwas Verdächtiges erkennt, wird erneut um eine Bestätigung des Likes gebeten, um eventuell ungewollten Aktivitäten vorzubeugen.

Self-XSS Schutz: Ungewollte Facebookaktivitäten über nachgeladene Scripte

Vielleicht kennen einige diese Spamwelle mit den Veranstaltungseinladungen, um beispielsweise angeblich die Profilbesucher des eigenen Profils zu sehen. Dazu sollte man nur einen Code in die Adresszeile kopieren, welcher mit “javascript:” anfing. Was vielen Internetanwendern hierbei natürlich nicht bewusst war ist, dass dadurch sozusagen Schadecode ausgeführt wurde. Es wurde also ein Script auf Facebook nachgeladen, welches die Ajax Funktionen des Netzwerks ausnutzte, um eine Veranstaltungseinladung zu erstellen und wiederrum alle eigenen Kontakte einzuladen. Facebook zeigt bei Erkennung von XSS nun eine Meldung an, welche über das Sicherheitsrisiko und die möglichen unerwünschten Nebeneffekte informiert. Weiterhin arbeitet Facebook mit den Browserherstellern zusammen, um derartige Sicherheitslücken zukünftig von Grund auf auszuhebeln. Die Grundfunktionalität – über die Browseradresszeile Java Script ausführen zu können ist natürlich nicht schlecht, denn so kann man beispielsweise per Klick auf z.B. einem Lesezeichen aktuelle Seiteninformationen mitübertragen. Beispielsweise wird diese Funktionalität auch von meinem Facebook Video Grabber genutzt, damit das Kopieren, Einfügen und Absenden der Videoportal URL nicht mehr notwendig ist.

Loginbestätigung über SMS

Ein weiterer Schutz, welcher fast schon Onlinebankingcharakter hat, ist die Bestätigung eines Logins auf Facebook mittels eines SMS Codes. Hierzu muss in einem weiteren Dialog nach dem Login der via SMS eintreffende Code eingetragen werden.