Kommentare zu: Open Web #1: Mehr Sicherheit im Netz mit “Delegated Authorization”

Von: twitter Follower Friends - Tool | Webschau Nicole 2.0

twitter Follower Friends - Tool | Webschau Nicole 2.0 — Sun, 07 Jun 2009 22:17:08 +0000

[...] vorgekommen, dass die Daten gesammelt und missbraucht wurden. Siehe den interessanten Artikel bei my ON-ID [...]

Von: myON-ID im Detail: Das Adressbuch | myON-ID Blog

myON-ID im Detail: Das Adressbuch | myON-ID Blog — Mon, 02 Mar 2009 08:52:40 +0000

[...] Importieren von Kontakten folgt dabei immer dem Prinzip der “Delegated Authorization” was bedeutet, dass wir lediglich Dienste anschließen, die uns das Importieren von Daten [...]

Von: Kontakte und Privatsphäre beim neuen myON-ID | myON-ID Blog

Kontakte und Privatsphäre beim neuen myON-ID | myON-ID Blog — Fri, 13 Feb 2009 16:40:58 +0000

[...] wir dabei in Zukunft kontinuierlich ausbauen, dabei aber immer darauf achten, dass das Konzept der Delegated Authorization gewahrt werden [...]

Von: Lothar Seifert

Lothar Seifert — Sun, 08 Feb 2009 17:54:49 +0000

Es ist genauso, als ob man wahllos seinen Haustürschlüssel verteilt. Früher oder später kann jeder Anbieter ein Sicherheitsproblem bekommen. Und sei es von außen wie hier beschrieben. Ich selbst gehe oft viel zu sorglos mit Passwörtern um. Ein toller Artikel wie hier holt mich wieder in die Welt zurück und mahnt zur Vorsicht.

Von: Sebastian Küpers

Sebastian Küpers — Mon, 12 Jan 2009 15:41:52 +0000

Hi Sebaso – danke für den Kommentar!

Das ist natürlich absolut richtig. Hab ich in meinem Artikel auch explizit erwähnt, dass die Fälle der Promis nichts damit zu tun hatten.

In den von mir Eingangs erwähnten prominenten Fällen von Barack Obama und Brintey Spears hat es sich zwar auf andere Art und Weise zugetragen, worauf auch ausdrücklich von Twitter hingewiesen wird (was auch nicht weniger problematisch ist), aber grundsätzlich hätten diese Accounts auch von dem gleichen Problem betroffen sein können.

Ja dem Thema “sichere Passwörter nutzen” sollte man sich durchaus auch nochmal explizit annehmen! Insbesondere auch im Zusammenhang mit OpenID. Denn wer für seine OpenID so “sichere” Kennwörter wie z.B. der Twitter-Support wählt, geht natürlich ein viel höheres Risiko ein!

Von: Sebaso

Sebaso — Mon, 12 Jan 2009 15:29:23 +0000

Der Text an sich ist eine gute Beschreibung von Problem und möglicher Lösung. Aber: Die Übernahme der Promi-Accounts hat damit nicht zu tun. Da war das Problem ein extrem schwaches Zugangspasswort des Twittersupports (hapiness) verbunden mit der nicht-Absicherung des Logonbereichs bei mehrfach (in diesem Fall via script automatisch) falsch eingegebene Zugangsdaten.

Das Thema “sichere passwörter nutzen” könntet ihr evtl in einem extra Beitrag mal genauso gut erklären.

Von: Sebastian Küpers

Sebastian Küpers — Mon, 12 Jan 2009 07:57:29 +0000

Ah ok – also wurde über Email-Spam auf “Schwarze Schafe” verwiesen. Ja ich hatte relativ viele DMs von meinen Followern mit Links auf Phishing-Sites. Letzten Endes wurde hier also die Tatsache ausgenutzt, dass die Leute einfach so bereit sind – da sie es so von vielen Twitter-Apps so gewohnt sind – einfach ohne drüber nachzudenken ihre Zugangsdaten rauszugeben.

Ich hoffe, dass wenn mehr Dienste in Zukunft Delegated Authorization unterstützen, den Leuten immer mehr auffällt, dass es nicht mehr nötig ist seine Zugangsdaten an Dritte rauszugeben und somit wesentlich kritischer hinterfragen, warum eine Webseite dass dann plötzlich doch noch möchte.

Von: cekay

cekay — Mon, 12 Jan 2009 07:48:35 +0000

Angefangen hat es mit Spam Emails die aussahen wie Antworten aus Twitter auf Direkt Nachrichten. Erst wer in der Email auf die Phishing Seiten seine Daten eingegeben hatte, wurde dann als DM sender missbraucht. Dort wurde dann fröhlich weitergespamt.

Von: More Security with Delegated Authorization

More Security with Delegated Authorization — Mon, 12 Jan 2009 07:44:08 +0000

[...] a short notice: I wrote a German(!) blog post “Mehr Sicherheit im Netz mit Delegated Authorization” explaining delegated authorization, the password-anti-pattern and OAuth on the myON-ID blog. [...]