Mozillas Persona mit Sicherheitslücke, aber keine Gefahr mehr
Seit einem Jahr gibt es Mozillas Single-Sign-On Service Persona bereits. Der große Erfolg blieb anscheinend vorerst aus, so entschloss man sich kürzlich, das Projekt an die Community zu übergeben, während man es aber weiterhin unterstützen wird. Drei Mitarbeiter der Professur für Informationssicherheit und Kryptographie an der Universität Trier haben nun gravierende Sicherheitslücken in dem Anmelde-System entdeckt. So können sich Angreifer mit beliebigen Google- oder Yahoo-Adressen bei Webseiten anmelden. So ist es dann möglich, Daten aus fremden Konten auszulesen und auch zu verändern.
Die Lücke wurde Mozilla vor Veröffentlichung mitgeteilt und ist auch bereits geschlossen. Es besteht demnach keine Gefahr mehr, wenn man den Service nutzt. Generell bestätigt die Uni Trier Persona einen guten Ansatz, da im Gegensatz zu Single-Sign-Ons über Google oder Facebook keinerlei Daten an Dritte gegeben werden, wenn eine Webseite besucht wurde. Die Ergebnisse der Untersuchung präsentieren die Forscher auf der IT-Sicherheitskonferenz „Security and Privacy 2014″.
Wird geladen ...
Bin eigentlich recht IT-affin, aber irgendwie verstehe ich Persona nicht. Klingt unverständlich und umständlich. Kenne auch noch andere, die das so sehen. Kann also gut nachvollziehen, warum sich das nicht ansatzweise durchgesetzt hat.
@Peter Persona nicht verstehen? Dann verstehst du sicher auch die Single-Sign-Ons von FB und Google nicht…
Du hast einfach einen Account, von Experten, die mit ziemlicher Sicherheit dafür sorgen können, dass da keine Lücke drin ist (sprich 2-Factor etc) und kannst den so direkt einfach nutzen und einbinden – Brauchst dich wartungstechnisch kaum noch drum kümmern, weil die Anmeldedienste ja nix anderes machen als dich mit privaten Daten zuzuballern…