Liebe Spieler,Bitte lest diese Nachricht sorgfältig durch.
Wer nur das Allernötigste wissen will,
klickt bitte hier.
Was ist das Problem?Wie unsicher das Internet ist bekommt man im Moment besonders deutlich zu spüren. Wer sich öffentlich per WLAN verbindet (z.B. im Cafe, in der Schule oder am Bahnhof) und auf Seiten unterwegs ist, bei denen man sich anmelden muss (Facebook, Amazon, DeviantArt oder auch Yhoko.com) muss davon ausgehen, dass sein Account bereits übernommen wurde.
Wie geht das?Die Firefox-Erweiterung "Fire Sheep" ermöglicht es, eine fundamentale Schwachstelle des Internets auszunutzen und das klappt erschreckend gut, ja geradezu reibungslos. Das Stichwort hierfür lautet "session hijacking" und basiert darauf, dass der Täter eure Session kopiert und dann quasi unter eurem Namen auf der entsprechenden Seite eingeloggt ist.
Hilft mir ein "sicherer Login"?Viele Webseiten haben den Login-Vorgang mittels SSL abgesichert, doch die Schwachstelle ist überhaupt nicht auf einen Login angewiesen! Es reicht völlig, wenn ihr z.B. eine beliebige Facebook-Seite aufruft und dabei bereits eingeloggt wart. Es spielt auch keine Rolle, ob ihr die URL von Hand eingebt oder einen Link anklickt. Oder ob JavaScript oder Plugins aktiviert sind. In dem Moment, wo ihr die Seite aufruft, erscheint beim Angreifer der Account in einer Liste, wo er sich bequem per Doppelklick unter eurem Namen einloggen kann. Dasselbe gilt für Yhoko.com und alle anderen Webseiten, die mit ungesicherten Sessions arbeiten.
Was kann ich tun?Der beste Schutz heisst HTTPS, ist aber leider nicht für alle Webseiten verfügbar. Ob HTTPS aktiv ist, seht ihr an der Adresszeile - Je nach Browser und Sicherheitsstufe färbt sie sich gelb, zeigt ein Schlösschen oder einen grünen oder blauen Balken mit dem Firmennamen an. Ist ein solches Merkmal vorhanden, dann ist die Verbindung sicher.
Generell könnt ihr folgendes tun
- Verwendet das [http] HTTPS everywhere Plugin für Firefox. Es versucht automatisch, jede Seite zunächst per HTTPS aufzurufen.
- Unterlasst das Surfen in öffentlichen Netzen, bis die Anbieter ihre Seiten mit HTTPS gesichert haben.
- Loggt euch immer aus, wenn ihr eine Seite verlasst, denn so wird die Session geschlossen und ein möglicher Angreifer wird ebenfalls ausgeloggt.
Tipp: Probiert es selbst! Besucht eine Webseite und ersetzt das // am Anfang durch https:// (also einfach das s einfügen), wenns klappt seid ihr auf dieser Seite sicher. Achtung bei Seiten wie z.B. DeviantArt, dort werdet ihr einfach nur wieder auf // weitergeleitet. Das https:// muss bleiben, sonst ist die Verbindung nicht sicher.
Bin ich sicher?Du bist (unter anderem) vor der Schwachstelle sicher, wenn...
- du bist über ein VPN verbunden.
- du eine Webseite via https:// öffnest und dadurch eine sichere Verbindung aufbaust.
- du als einziger an deinem Internet-Anschluss sitzt.
- dein Netzwerkkabel direkt am Router/Modem eingesteckt ist.
- du über ein speziell gesichertes Funknetz verbunden bist (z.B. MiFi).
Was passiert nun?Die genannte Schwachstelle ist universell und durch die jüngste Bekanntmachung wird sie auch immer mehr Betreibern bewusst (gemacht). Mittelfristig wird wohl daher jede (sensible) Webseite mit HTTPS gesichert. Bis die Grossen wie Facebook reagieren, könnte es aber noch etwas dauern, zumal HTTPS den Server auch stärker belastet als normal. Ich persönlich bin bereits in Diskussionen wegen einem Zertifikat für Yhoko.com, leider sind die Dinger aber nicht ganz billig und die Umstellung auf HTTPS erfordert zudem einen Haufen technische Änderungen.
Für den Moment kann ich daher wirklich nur empfehlen, öffentliche WLANs zu meiden (in privaten Netzen ist das Problem freilich auch vorhanden, jedoch kennt kennt man dort zumindest die anderen Teilnehmer).
Viel Glück da draussen!
Yhoko
