https auf Facebook

Schon seit Anfang des Jahres bietet Facebook an, die gesamte Kommunikation zwischen Browser und Server per SSL zu verschlüsseln, nicht nur den Login. Dadurch werden also auch Cookies verschlüsselt übertragen. Die Sicherheit erhöht sich damit – ganz besonders in (offenen) WLANs – erheblich. Die Funtkion muss allerdings erst aktiviert werden. Das geht in den Einstellungen unter dem Punkt Kontosicherheit. Warum das nicht Default ist erschließt sich mir nicht.

Darüber hinaus kann man sich per Mail informieren lassen, wenn ein Login von einem anderen als dem gewohnten Gerät erfolgt. Dabei wird wohl der Browser und der Standort ermittelt. Wenn man den angezeigten Login nicht selbst getätigt hat oder einfach vergessen hat sich an einem entfernten Rechner abzumelden, kann man die Session ebenfalls in den Einstellunge beenden. Sehr praktisch!

In den USA verschickt Facebook auf Anfrage zudem Einmalpasswörter per SMS. Das dient der Sicherheit beim Login auf fremden Rechnern, bspw. in Internetcafes. Das Einmal-PW kann per SMS angefordert werden, ist 20min gültig und funktioniert nur bei einem Login. Leider scheint der Service noch nicht in Deutschland verfügbar zu sein. Es ist zu hoffen, dass sich das bald ändert.

Aus meiner Sicht sind die Sicherheits-Bemühungen von Facebook sehr erfreulich und abgesehen vom SSL-Support keine Selbstverständlichkeit!

5 Kommentare to “https auf Facebook”

  1.  tux. schrieb am 10. Apr 2011 um 22:12

    Echt? Bekommen Facebooks Werbepartner die Daten der treudoofen Nutzer dann etwa auch nur noch verschlüsselt?

  2.  Greg schrieb am 11. Apr 2011 um 13:14

    Nein, bei Facebook Apps von dritten Anbietern wird leider offenbar nicht immer SSL eingesetzt. Wie es bei Werbepartnern ist, weiß ich nicht.

  3.  Benedikt schrieb am 13. Apr 2011 um 16:53

    Facebook hat für die Apps ja auch das eigene Hosting/Rendering schon vor einiger Zeit abgeschaltet und bindet diese nun per iFrame ein.
    Ich möchte mir den Wildwuchs an unsignierten/selbst signierten Zertifikaten gar nicht vorstellen, der entsteht wenn die apps zwangsweise verschlüsselt würden.
    Zudem kann man ja auch von ganz außerhalb auf die Facebook API zugreifen.

    Und ich denke genau das ist es worauf tux hinaus will:
    Drittanbieter kriegen deine Daten frei Haus. Ob die Kommunikation da jetzt verschlüsselt ist macht ja keinen Unterschied wenn ich jedem einen Schlüssel in die Hand drücke.

  4.  Hackwar schrieb am 18. Apr 2011 um 17:35

    Unser Marketingdirektor findet Facebook-Likes und Twitter-Links absolut geil und folgerichtig habe ich dann die Aufgabe gekriegt, eben solche Elemente in unsere Seite einzubauen. Nun läuft unsere Seite jedoch zu 100% über SSL – und das kann Facebook anscheinend dann doch nicht. So konnte ich dann letztendlich doch verhindern, das wir zumindest Facebook und Twitter noch mehr Infos zuschieben. Daran Google Analytics durch Piwik zu ersetzen arbeite ich noch.

  5.  Greg schrieb am 19. Apr 2011 um 16:36

    Drittanbieter kriegen deine Daten frei Haus. Ob die Kommunikation da jetzt verschlüsselt ist macht ja keinen Unterschied wenn ich jedem einen Schlüssel in die Hand drücke.

    Bei SSL geht es ja darum, die Kommunikation zu verschlüsseln, nicht die Daten an sich (wenn sie auf dem Server liegen etc). Drittanbieter werden ja wohl nicht mein Klartext-Passwort/mein Login-Cookie bekommen, oder? Deshalb bringt mir die Verschlüsselung eben doch was. Apps finde ich eh kacke 😉

Trackback-Adresse | RSS-Feed für die Kommentare abonnieren

Hinterlasse einen Kommentar:


(Wir behalten uns vor Kommentare von dummen Menschen entweder zu löschen oder exemplarisch für die Nachwelt zu konservieren. Dumme Kommentare mit Werbelinks müssen leider auf zweiteres Privileg verzichten.)

XHTML: Du kannst diese Tags verwenden:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>