…bin ich aufm Sonnendeck.

Oder vielleicht auch hier:

…hier:

….oder hier:

Quelle: singapur-reiseinfo.de

Ich weiss, man sollte nicht unter dem Zustand des angepisst seins einen Blogpost verfassen, aber in diesem Fall muss ich mich doch mal aufregen.
Seit zwei Tagen versuche ich für yiid die Kommentarfunktion online zu bringen, die dann über oAuth auf die Twitterapi zugreift. Leider blockiert man aber nun schon seit vorgestern meine Arbeit, da Twitter oAuth spontan mal abgeschaltet hat um der so schlauen Internetgemeinde Zeit für eine Diskussion zu geben, die mal wieder so überflüssig ist wie Fußpilz.
Man diskutiert nämlich eine Sicherheitslücke innerhalb von oAuth, die meiner bescheidenen Meinung nach keine Sicherheitslücke ist. Es geht mal wieder um Phishing und die Details dazu erfahrt ihr hier:

http://www.hueniverse.com/hueniverse/2009/04/explaining-the-oauth-session-fixation-attack.html

Kurz und knapp für die, die oAuth ein wenig kennen eine sehr kurze Erläuterung auf deutsch:

User snirgel macht bei yiid eine Anfrage bei Plaxo um ihre Kontakte zu importieren. Sprich, sie schickt einen Requesttoken weg, um dann von Plaxo einen Accesstoken zu erhalten. Jetzt geht sie her und fängt den Link mit dem Requesttoken (BEVOR dieser bei Plaxo landet und gegen den Accesstoken ausgetauscht wird) ab und schickt ihn an User Hugo Affenkopf. Hugo klickt nun diesen Link und kommt zur Freigabeseite von Plaxo, wo er seine Anmeldedaten eintippt und den ZUGRIFF AUF SEINE DATEN EXPLIZIT bestätigt. Ab hier wird dann oAuth zum bösen Monster was mutwillig meine Daten klaut, denn ab jetzt kann snirgel (für ca. eine halbe Stunde oder je nach Einstellung des Clients) die Kontakte von Hugo importieren.

Richtig, sicherlich ist dies ein Fall von Phishing und das brauchen wir auch gar nicht diskutieren. Was mich aber aufregt ist, dass nun zum Teil eine wirklich gut durchdachte und auch praktikable Technologie, die im Grundprinzip das Internetleben einfacherer und sicherer macht in Verruf gerät (denn wir erinnern uns an das Passwort-Antipattern und die Speicherung von Nutzerdaten auf Fremdplattformen)

LEUTE: Das Böse ist doch nicht oAuth. Das böse sind die Leute, die wiedermal all ihre Kreativität dazu benutzen den Usern zu schaden. Und mit Verlaub, dämlich sind auch alle die dies mal wieder hinbekommen jeden blöden Link zu klicken und ohne zu denken einem Zugriff auf ihre Daten zustimmen, denn die Services die ich kenne und die bereits oAuth einsetzten weisen sehr sehr deutlich darauf hin, dass man mit Klicken oder Eingabe seiner Benutzerdaten den Zugriff auf seinen Account erlaubt:

Nach Zensursula, Killerspieldiskussionen und jetzt dieser Problematik macht es bald echt keinen Spass mehr mit dem Internet. Ständig wird die Dummheit der User und die Böswilligkeit der Leute dazu benutzt alles und jedes in Frage zu stellen, nur eben nicht die Mündigkeit der Bürger.
Deswegen mein Vorschlag: Wir stellen das Internet einfach ab. Denn sobald der Router sich ins Netz ‘einwählt’, scheinen sich alle Gehirne und jegliche Vernunft plötzlich abzuschalten. Diesen Effekt können wir nur durch eine konsequente Bekämpfung dieses bösen Mediums stoppen.

So…..das musst mal raus. In diesem Sinne: Schönen (Internet)-Tag und danke für den Fisch

Nachtrag 1000: Anscheinend haben auch yahoo und google ebenso ihr oAuth erstmal dicht gemacht. Juchhu…endlich kümmert sich mal jemand um meine Sicherheit

Nochmal Nachtrag 1005: Twitter hats wohl wieder angeschaltet. Dem Internetgott sei dank