fredag 28 januari 2011

Facebook och Firesheep, tre månader senare...

Ni kommer väl ihåg Firesheep? Firefox pluginet som tillgängliggjorde kontokapning på bland annat Facebook, Twitter och Google. Det byggde på en teknisk sårbarhet som varit känd sedan... hmm.. urminnestider, men som inte "någon" brydde sig om förrän Firesheep gjorde det enkelt för alla att utnyttja den.


Facebook har nu tre månader senare tillkännagivit att de långsamt kommer rulla ut https-stöd. Det har tidigare bara gått att göra med just plugins. Och har man gjort det, märker man snart att inte all funktionalitet finns kvar. Tyvärr kommer det fortsätta vara så under överskådlig framtid, även om Facebook ny har gett bekräftelse på att de är medvetna om problemet och jobbar på det.

Hur som helst: innan jag läste vad Facebook själva skrivit läste jag en artikel, gick till min Facebook-sida och försökte hitta inställningen. Som inte fanns att hitta. Däremot hittade jag den här texten i hjälpcentret:

Använder Facebook säkra sidor?
Facebook vidtar lämpliga säkerhetsåtgärder för att skydda användarnas information. Kontoinformationen finns på en säker server bakom en brandvägg. När du anger känslig information (t.ex. kreditkortsnummer eller lösenord) krypterar vi den informationen med hjälp av SSL-teknik (Secure Socket Layer). Facebook registrerar alltid inloggningar på en säker sida och utnyttjar kryptering enligt branschstandard. Det kanske inte alltid är tydligt från URL-adressen (webbadress) men du kan vara säker på att våra inloggningar är säkra.
Man oh man... Knappt att man vet var man ska börja. Det här stycket är ett exempel på:
  1. Mediaträning. Frågan är en Ja/Nej-fråga, men det är inte svaret... redan här finns det anledning till misstänksamhet.
  2. Vilseledande. Det finns ingenting som heter "säker server". "Lämpliga säkerhetsåtgärder" är också vidöppet för diskussion.
  3. Bevis på bristande teknisk förståelse. "Det kanske inte alltid är tydligt..." ... Ehh.. Om det inte är tydligt att SSL används så betyder det att sidan hämtats via HTTP, vilket alltså innebär att den som minst är öppen för man in the middle-angrepp. Hörde jag någon säga sslstrip?
  4. VILKEN branschstandard pratar de om? Att ha inloggningssidan på https är lika självklart som att postningen skall vara https om du frågar mig eller vem som helst av mina säkerhetskollegor. Vi är också väl medvetna om att cookien skall vara satt med Secure-flaggan.
  5. Folk är fixerade vid kryptering och ser det som synonymt med säkerhet. Används kryptering så tycks folk bli säkra på att då är det säkert. Se min debattartikel i TechWorld från 2009 om att SSL inte säkrar din webbapplikation.
  6. Vad bristande kravställning resulterar i. Beställer du en applikation och säger "den ska vara säker", är det sån här rappakalja du kommer få till svar. Du kommer inte få en "säker" applikation.
... och mer därtill. Men nog om det. Att Facebook gör något är bra. Det hela kan också ses som ett exempel på vad jag bloggade om i förra veckan, att åtgärda brister inte alltid går på en dag.

Inga kommentarer:

Skicka en kommentar