Mozillas Persona mit Sicherheitslücke, aber keine Gefahr mehr

Seit einem Jahr gibt es Mozillas Single-Sign-On Service Persona bereits. Der große Erfolg blieb anscheinend vorerst aus, so entschloss man sich kürzlich, das Projekt an die Community zu übergeben, während man es aber weiterhin unterstützen wird. Drei Mitarbeiter der Professur für Informationssicherheit und Kryptographie an der Universität Trier haben nun gravierende Sicherheitslücken in dem Anmelde-System entdeckt. So können sich Angreifer mit beliebigen Google- oder Yahoo-Adressen bei Webseiten anmelden. So ist es dann möglich, Daten aus fremden Konten auszulesen und auch zu verändern.

persona_gmail

Die Lücke wurde Mozilla vor Veröffentlichung mitgeteilt und ist auch bereits geschlossen. Es besteht demnach keine Gefahr mehr, wenn man den Service nutzt. Generell bestätigt die Uni Trier Persona einen guten Ansatz, da im Gegensatz zu Single-Sign-Ons über Google oder Facebook keinerlei Daten an Dritte gegeben werden, wenn eine Webseite besucht wurde. Die Ergebnisse der Untersuchung präsentieren die Forscher auf der IT-Sicherheitskonferenz „Security and Privacy 2014″.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

2 Kommentare

  1. Bin eigentlich recht IT-affin, aber irgendwie verstehe ich Persona nicht. Klingt unverständlich und umständlich. Kenne auch noch andere, die das so sehen. Kann also gut nachvollziehen, warum sich das nicht ansatzweise durchgesetzt hat.

  2. @Peter Persona nicht verstehen? Dann verstehst du sicher auch die Single-Sign-Ons von FB und Google nicht…
    Du hast einfach einen Account, von Experten, die mit ziemlicher Sicherheit dafür sorgen können, dass da keine Lücke drin ist (sprich 2-Factor etc) und kannst den so direkt einfach nutzen und einbinden – Brauchst dich wartungstechnisch kaum noch drum kümmern, weil die Anmeldedienste ja nix anderes machen als dich mit privaten Daten zuzuballern…

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.