Mozillas Persona mit Sicherheitslücke, aber keine Gefahr mehr

Seit einem Jahr gibt es Mozillas Single-Sign-On Service Persona bereits. Der große Erfolg blieb anscheinend vorerst aus, so entschloss man sich kürzlich, das Projekt an die Community zu übergeben, während man es aber weiterhin unterstützen wird. Drei Mitarbeiter der Professur für Informationssicherheit und Kryptographie an der Universität Trier haben nun gravierende Sicherheitslücken in dem Anmelde-System entdeckt. So können sich Angreifer mit beliebigen Google- oder Yahoo-Adressen bei Webseiten anmelden. So ist es dann möglich, Daten aus fremden Konten auszulesen und auch zu verändern.

persona_gmail

Die Lücke wurde Mozilla vor Veröffentlichung mitgeteilt und ist auch bereits geschlossen. Es besteht demnach keine Gefahr mehr, wenn man den Service nutzt. Generell bestätigt die Uni Trier Persona einen guten Ansatz, da im Gegensatz zu Single-Sign-Ons über Google oder Facebook keinerlei Daten an Dritte gegeben werden, wenn eine Webseite besucht wurde. Die Ergebnisse der Untersuchung präsentieren die Forscher auf der IT-Sicherheitskonferenz „Security and Privacy 2014″.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

*Mitglied der Redaktion 2013 bis 2019*

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

2 Kommentare

  1. Bin eigentlich recht IT-affin, aber irgendwie verstehe ich Persona nicht. Klingt unverständlich und umständlich. Kenne auch noch andere, die das so sehen. Kann also gut nachvollziehen, warum sich das nicht ansatzweise durchgesetzt hat.

  2. @Peter Persona nicht verstehen? Dann verstehst du sicher auch die Single-Sign-Ons von FB und Google nicht…
    Du hast einfach einen Account, von Experten, die mit ziemlicher Sicherheit dafür sorgen können, dass da keine Lücke drin ist (sprich 2-Factor etc) und kannst den so direkt einfach nutzen und einbinden – Brauchst dich wartungstechnisch kaum noch drum kümmern, weil die Anmeldedienste ja nix anderes machen als dich mit privaten Daten zuzuballern…

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.