Facebook hat die Datenschutz-Einstellungen
geändert,
ohne dass sich am Datenschutz etwas ändert. Denn abgesehen von der
neuen Anordnung der Einstellungen bleibt fast alles beim Alten: Per Default
sind die Einstellungen ziemlich freizügig (um es mal höflich zu
formulieren). Zumindest verspricht Facebook, dass die gewählten
Einstellungen auch für zukünftige Erweiterungen übernommen
werden sollen - wer also einmal seinen Account abgedichtet hat, muss das
nun nicht mehr bei jeder neuen Erweiterung erneut tun.
Wenn Mark Zuckerberg so sehr davon überzeugt ist, dass die meisten
Mitglieder ihre Daten verbreiten wollen, wieso gibt er ihnen dann nicht die
Möglichkeit, das aktiv kund zu tun, statt die, die dagegen sind, zum
ausschalten zu zwingen? Was ist so schwierig an einer
vielfach gewünschten
"opt-in"-Lösung zur Weitergabe der Daten? Anscheinend ist man bei
Facebook der Meinung, der Beitritt zu Facebook sei ein "opt-in" zur
vollkommenen Freigabe der Daten. Nun, in gewisser Weise ist es das. Und
es könnte gut sein, dass man bei Facebook am Ende des heutigen Tages
(31. Mai) ziemlich dumm aus der Wäsche guckt, wenn viele Benutzer
ein finales "opt-out" wählen - am
"Quit Facebook Day".
Neue Einstellungen auf die Schnelle?
"Facebook verbessert die Datenschutz-Einstellungen, nicht den Datenschutz" vollständig lesen
Wie Clickjacking
allgemein
funktioniert und
welche Möglichkeiten
es einem Angreifer bietet, haben Sie in den ersten beiden Folgen erfahren.
Jetzt geht es um die Möglichkeiten, einen Clickjacking-Angriff zu
verhindern bzw. abzuwehren. Voraussetzung für das Clickjacking ist das
Einbinden der angegriffenen Seite in einen iframe, entsprechend besteht
die beste Gegenmaßnahme gegen einen Angriff darin, dieses Einbinden zu
verhindern.
Clickjacking abwehren
"Clickjacking - Framebuster oder HTTP-Header verhindern Angriffe" vollständig lesen
Facebook - lohnt es sich überhaupt, darüber noch viele Worte zu verlieren?
Facebook hat kein Problem, Facebook ist ein Problem. OK, streng genommen
hat Facebook doch ein Problem, und das heißt Mark
"Privatsphäre ist unwichtig"
Zuckerberg. Wer so einen Chef hat, braucht sich über
flüchtende Kunden
nicht zu wundern.
Die Kunden flüchten, der Chef flucht?
"Facebook: Mark Zuckerberg entdeckt den Datenschutz?" vollständig lesen
Mit Clickjacking einen einzelnen Klick zu entführen erfordert schon
etwas Aufwand, wie in der vorigen
Folge
am Beispiel der Demonstration von Jeremiah Grossman und Robert "RSnake"
Hansen zu sehen war. Möchte ein Angreifer gleich mehrere Klicks entführen,
wird es noch aufwändiger. Ein Beispiel dafür ist die
Demonstration
von Guy Aharonovsky.
Der Angriff von Guy Aharonovsky im Detail
"Clickjacking - Auch komplizierte Aktionen sind möglich" vollständig lesen
Der Bundesgerichtshof (BGH) hat die Störerhaftung für Betreiber
von WLANs eingeschränkt, fordert aber einen angemessenen Schutz des
Netzes. Welche Schutzmaßnahmen es gibt, erfahren Sie hier.
Am 12. Mai 2010 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil
(Pressemitteilung,
Urteil als
PDF
(noch nicht online)) zur Störerhaftung für Betreiber von WLANs verkündet
(Az. I ZR 121/08):
"Privatpersonen können auf Unterlassung, nicht dagegen auf
Schadensersatz in Anspruch genommen werden, wenn ihr nicht ausreichend
gesicherter WLAN-Anschluss von unberechtigten Dritten für
Urheberrechtsverletzungen im Internet genutzt wird."
(Aus der
(Pressemitteilung)
Was bedeutet das? Laut BGH muss man seinen WLAN-Anschluss angemessen
Schützen, wobei aber nur die Einhaltung der zum Zeitpunkt der Installation
"marktüblichen Sicherungen" verlangt wird:
"WEP, WPA, WPA2 - WLAN-Schutz, aber richtig!" vollständig lesen
Nachdem Google Ende April beim Wardriving
ertappt
wurde,
hieß es
seitens Googles noch, man würde ja nur die MAC-Adressen und Namen (SSID) der
Funknetze protokollieren, aber weder Nutzdaten (Payload-Daten) sammeln
noch speichern. Inzwischen hat Google
zugegeben,
dass das nicht stimmt: Es wurden Payload-Daten unverschlüsselter
Funknetze gesammelt und gespeichert. Da die Streetview-Autos i.A. in
Bewegung sind, handelt es sich dabei nur um Ausschnitte des
Netzwerkverkehrs. Aufgezeichnet werden konnte immer nur so lange, wie der
betroffene Access Point in Reichweite war und der Empfänger im Wagen
auf dem entsprechenden Kanal empfangen hat (der ca. 5 Mal pro Sekunde
gewechselt wurde). Im Prinzip können dabei wirklich nicht viele Daten
pro Netz gesammelt worden sein - aber was in diesen Informationsschnipseln
alles drin steht, weiß nur Google. Theoretisch kann da alles drin
sein, was (worauf auch Google hinweist) die Bedeutung der
Verschlüsselung der über Funknetze übertragenen Daten zeigt.
Zufällig Daten gesammelt... und keiner merkt es?
"Google sammelt versehentlich Daten?" vollständig lesen
Hier finden Sie Texte rund um das Thema "IT-Sicherheit" und Kommentare zu
mehr oder weniger aktuellen Entwicklungen aus diesem Bereich.
Der Software & Support Verlag hat beschlossen, die
Veröffentlichung neuer Folgen meiner Serie
"About Security"
und meiner Kolumne
"Standpunkt Sicherheit"
auf entwickler.de und weiteren Portalen mit der Veröffentlichung
von
About Security #253
und dem
Standpunkt Sicherheit vom 10. Mai
einzustellen. Daher werde ich Sie in Zukunft hier auf meinen eigenen Seiten
regelmäßig mit Texten über Grundlagen der IT-Sicherheit und
Hintergründen aktueller Entwicklungen sowie Kommentaren zu mehr oder
weniger aktuellen Ereignissen versorgen.
Wie gewohnt wird es jeden Donnerstag einen neuen Text zu Themen aus dem
Bereich IT-Sicherheit geben, wobei ein Schwerpunkt auf aktuellen
Entwicklungen liegen wird. Wie es in
About Security #253
für die nächste Folge geplant war, geht es nun hier zunächst um
Clickjacking.
Falls Sie Fragen oder Themenvorschläge haben,
zögern Sie nicht, mir eine
E-Mail
zu schicken, die Adresse finden Sie auch unter jedem der Texte.
Themen, die auf mehrere Texte aufgeteilt sind, werde ich nach Abschluss des
Themas auf www.ceilers-it.de als vollständigen Text bereit stellen.
Das erspart Ihnen beim Lesen den Wechsel zwischen den verschiedenen Folgen,
und wenn Sie eine PDF-Version bevorzugen, können Sie sie daraus leicht
erstellen.
Immer Montags wird es hier Kommentare zu mehr oder weniger aktuellen
Ereignissen geben, ähnlich meiner Kolumne
"Standpunkt Sicherheit".
Und ein paar weitere Ideen warten noch auf ihre Umsetzung...
Carsten Eilers
Clickjacking ist eine recht neue Bedrohung für Webanwendungen, die in
ihrer kurzen Geschichte aber schon mehrmals Schaden angerichtet hat. 2008
entdeckt, 2009 erstmals für Angriffe ausgenutzt, 2010 verfeinert - das
ist doch eine steile Karriere. Worum geht es? Schon ein einziger
anscheinend harmloser Klick auf einer Webseite kann dank Clickjacking
verhängnisvolle Folgen haben: Ein Angreifer könnte den Klick
abfangen und damit auf einer anderen Webseite eine Aktion nach seinen
Wünschen auslösen.
2008 - Clickjacking erblickt das Licht der Welt
"Clickjacking - Angriffe auf Seiten ohne Schwachstellen" vollständig lesen
Am März-Patchday hat Microsoft wie
angekündigt
zwei als kritisch eingestufte Security Bulletins samt Updates
veröffentlicht,
mit denen zwei Schwachstellen behoben werden. Ohne Vorankündigung hat
Adobe ein als kritisch und ein als wichtig eingestuftes Security Bulletin
samt Updates bzw. Patches veröffentlicht, mit denen insgesamt 21
Schwachstellen behoben werden
"Patchday: Microsoft patcht 2 Schwachstellen, Adobe 21" vollständig lesen