Admin's Log

Plöt.

Die Entwicklung stand heute ganz im Zeichen der "Firesheep" Extension für Firefox. Wers nicht kennt, sollte sich schleunigst informieren, denn mit dieser Extension kann man ganz bequem über WLAN fremde Sitzungen (z.B. Facebook, Yahoo, generell Webmail) sammeln und sich dann als diese Leute einloggen. Der Entwickler wollte damit auf das massive Sicherheitsleck hinweisend (die Session-ID bleibt meist unverschlüsselt, selbst wenn der Login via SSL erfolgt). Da man dem Tool auch eigene Seiten beibringen kann, ist Yhoko.com genauso betroffen wie alle anderen Spiele und Seiten, die einen Login erfordern und mit Sessions arbeiten (also quasi alle).

Problem bei der Sache ist: So ein SSL Zertifikat kostet Geld (10-20 Euro im Jahr) und muss jährlich erneuert werden. Okay, das wär nicht so schlimm, aber aufgrund seiner Natur braucht man für jede Subdomain ein eigenes Zertifikat. Yhoko.com hat Dutzende dieser Subdomains und jetzt mit der Spracherweiterung werden es nochmal doppelt so viele (allein schon starly.yhoko.net und de.starly.yhoko.net und en.starly.yhoko.net zählen separat, und das Ganze nochmal für www.yhoko.net selbst und nochmal die ganze Geschichte für die .com Adressen). Das können wir uns schlichtweg nicht leisten und da alles zusammenhängt, bringt es nichts, nur die Hauptadresse abzusichern.

Freilich kann man ein Zertifikat auch selbst unterschreiben, aber das bringt ebenfalls nicht viel. Warum? Wegen der Browser-Warnung; seht selbst:

• [Y.net] www.yhoko.net

Im Augenblick suche ich nach einer praktikablen Lösung und halte euch auf dem Laufenden. Lästig sowas.

Nachtrag:

Zum Thema Zertifikat: Anscheinend kann man "shared SSL" Zertifikate bestellen, die dann für *.yhoko.com bzw. *.yhoko.net gültig sind, wenn das wirklich klappt wäre das eine brauchbare Option.

Zum Thema Firesheep: Ich hab das Tool nun selbst getestet und konnte bestätigen, dass Yhoko.com und Yhoko.net anfällig sind. Es ist erschreckend, wie einfach das funktioniert: Einfach warten, bis jemand eine Seite aufruft und schon taucht der Login auf - per Doppelklick ist man dann als derjenige auf der Seite. Voreingestellt sind etwa 30 Seiten, aber es hat nur ein paar Sekunden gedauert, auch einen Eintrag für meine Seiten hinzuzufügen.

Entwarnung gibt es nur für Yuser, die per Kabel direkt am Modem bzw. Router sitzen (technisch: deren Paketen nicht abgehört werden können). Völlig ungeschützt ist man dagegen im Funknetz, die Pakete schwirren da frei durch die Luft und können von jedem abgehört werden, der in der Nähe sitzt.

Das bedeutet, quasi alle Schulen, Hotels, Bahnhöfe und sonstigen "öffentlichen" Netze sind im Moment höchst unsicher, ich empfehle dringend an solchen Orten keinerlei Webseiten aufzurufen, bei denen ihr einen Account registriert habt. Wohlgemerkt, Firesheep ist nicht auf einen Login angewiesen, es reicht völlig, wenn ihr bereits eingeloggt seid und irgendeinen Link anklickt!

Die Situation ist wirklich brenzlig und man darf gespannt sein, wie sich das nun entwickelt.

Yhoko