Laßt uns doch einfach das Netz abschalten
Ich weiss, man sollte nicht unter dem Zustand des angepisst seins einen Blogpost verfassen, aber in diesem Fall muss ich mich doch mal aufregen.
Seit zwei Tagen versuche ich für yiid die Kommentarfunktion online zu bringen, die dann über oAuth auf die Twitterapi zugreift. Leider blockiert man aber nun schon seit vorgestern meine Arbeit, da Twitter oAuth spontan mal abgeschaltet hat um der so schlauen Internetgemeinde Zeit für eine Diskussion zu geben, die mal wieder so überflüssig ist wie Fußpilz.
Man diskutiert nämlich eine Sicherheitslücke innerhalb von oAuth, die meiner bescheidenen Meinung nach keine Sicherheitslücke ist. Es geht mal wieder um Phishing und die Details dazu erfahrt ihr hier:
http://www.hueniverse.com/hueniverse/2009/04/explaining-the-oauth-session-fixation-attack.html
Kurz und knapp für die, die oAuth ein wenig kennen eine sehr kurze Erläuterung auf deutsch:
User snirgel macht bei yiid eine Anfrage bei Plaxo um ihre Kontakte zu importieren. Sprich, sie schickt einen Requesttoken weg, um dann von Plaxo einen Accesstoken zu erhalten. Jetzt geht sie her und fängt den Link mit dem Requesttoken (BEVOR dieser bei Plaxo landet und gegen den Accesstoken ausgetauscht wird) ab und schickt ihn an User Hugo Affenkopf. Hugo klickt nun diesen Link und kommt zur Freigabeseite von Plaxo, wo er seine Anmeldedaten eintippt und den ZUGRIFF AUF SEINE DATEN EXPLIZIT bestätigt. Ab hier wird dann oAuth zum bösen Monster was mutwillig meine Daten klaut, denn ab jetzt kann snirgel (für ca. eine halbe Stunde oder je nach Einstellung des Clients) die Kontakte von Hugo importieren.
Richtig, sicherlich ist dies ein Fall von Phishing und das brauchen wir auch gar nicht diskutieren. Was mich aber aufregt ist, dass nun zum Teil eine wirklich gut durchdachte und auch praktikable Technologie, die im Grundprinzip das Internetleben einfacherer und sicherer macht in Verruf gerät (denn wir erinnern uns an das Passwort-Antipattern und die Speicherung von Nutzerdaten auf Fremdplattformen)
LEUTE: Das Böse ist doch nicht oAuth. Das böse sind die Leute, die wiedermal all ihre Kreativität dazu benutzen den Usern zu schaden. Und mit Verlaub, dämlich sind auch alle die dies mal wieder hinbekommen jeden blöden Link zu klicken und ohne zu denken einem Zugriff auf ihre Daten zustimmen, denn die Services die ich kenne und die bereits oAuth einsetzten weisen sehr sehr deutlich darauf hin, dass man mit Klicken oder Eingabe seiner Benutzerdaten den Zugriff auf seinen Account erlaubt:
Nach Zensursula, Killerspieldiskussionen und jetzt dieser Problematik macht es bald echt keinen Spass mehr mit dem Internet. Ständig wird die Dummheit der User und die Böswilligkeit der Leute dazu benutzt alles und jedes in Frage zu stellen, nur eben nicht die Mündigkeit der Bürger.
Deswegen mein Vorschlag: Wir stellen das Internet einfach ab. Denn sobald der Router sich ins Netz ‘einwählt’, scheinen sich alle Gehirne und jegliche Vernunft plötzlich abzuschalten. Diesen Effekt können wir nur durch eine konsequente Bekämpfung dieses bösen Mediums stoppen.
So…..das musst mal raus. In diesem Sinne: Schönen (Internet)-Tag und danke für den Fisch
Nachtrag 1000: Anscheinend haben auch yahoo und google ebenso ihr oAuth erstmal dicht gemacht. Juchhu…endlich kümmert sich mal jemand um meine Sicherheit
Nochmal Nachtrag 1005: Twitter hats wohl wieder angeschaltet. Dem Internetgott sei dank
Die Funktionalität das Internet abzuschalten gibt es doch schon Jahre lang: http://www.dasinternetabschalten.de
Aber stimmt schon, ich unterstütze den Antrag auf mehr Eigenhirn beim Internetsurfen.
Ja. Also mir gehts eben einfach auf die Nerven, dass nachher immer das Internet Schuld ist. Vielleicht muss man auch erst begreifen, dass das Internet und der Computer nur genau das machen, was man ihnen sagt…..ich bin auf jeden Fall langsam aber sicher ratlos wo das noch hinführn soll….
Es wurde doch vor Jahren schon über einen Internetführerschein diskutiert. Und das war wirklich noch zu den Zeiten, als jede kleine private Seite als Spielerei ein Flash Intro hatte. Fand ich vom Prinzip her in Ordnung, aber wurde natürlich nichts.
Zugegeben, es gibt illegale Aktivitäten im Netz, die gut getarnt sind, aber ich bin bisher auf keine reingefallen (wobei man die eh nur per Spam bekommt, wenn man anderswo seine E-Mail Adresse hinterlässt, was man eben nicht tun sollte). Aber es ist ja nicht nur das Internet, es gibt ja auch teure SMS-Services und Telefonnummern, bei denen man abgezockt werden kann – auch die kann man umgehen, wenn man das Hirn einschaltet. In der breiten Masse gibt es doch wieder genügend Leute, dass es sich rentiert. Jetzt bin ich wieder an dem Punkt, dass ich mich ärgere nicht das Geschäftsmodell von Swoopoo erfunden zu haben um darüber Jambaa Abos zu veräußern.
Stimmt. Es ist nicht nur ein Internetproblem. Wenn man auch bedenkt, wie viele Leute via Rabattaktionen und läden ihre Daten streuen….! Ich persönlich bin eben auch extrem vorsichtigt bei allem. Muss man eben aber auch erst lernen. Die Frage ist aber, warum niemand mal in Maßnahmen investiert um den Bürgern Medienkompetenz zu vermitteln, statt sie nur weiterhin wie kleine Kinder zu behandeln und ihnen einfach das “gefährliche” Spielzeug wegzunehmen, statt ihnen zu zeigen, wie man damit umgeht.
Es ist eben immer dasselbe: Alle rennen total naiv in die Falle, ein Aufschrei geht durch die Nation und es wird ein Gesetz erfunden, um den Bürger zu schützen, statt ihm ein paar Hilfsmittel in die Hand zu geben, wie er sich selbst schützen kann.
Da mag jetzt der Zyniker in mir durchkommen, aber wann macht Politik denn man was für den Bürger? Um in der Politik etwas bewegt zu bekommen braucht man Lobby und als Bürger hat man keine Lobby, da ist man eher lästig (außer es geht um Wahlkampfversprechen). Vermutlich müssen in einem Call Center erst wieder Daten geklaut werden, die BILD empört sich, es wird 2 Tage ohne Ziel debattiert und bei der nächsten Schlagzeile ist alles vergessen.
Wenn ich mich als Beispiel nehme, ich bin seit circa 11 Jahren im Internet unterwegs, hab darüber einen Großteil meines Freundeskreises kennengelernt und bin mit dem Internet erwachsen geworden. Würde ich heute als Neuling in’s Netz kommen, würde ich von den Möglichkeiten auch erschlagen werden. Und sooo alt bin ich jetzt auch noch nicht.
Mein Vater hat mit über 60 angefangen das Internet zu nutzen, dem habe ich ne kleine Einführung gegeben und zur Vorsicht gemahnt, das hat geklappt. Beim Handy lief das ähnlich. Und Kundenkarten gibt es auch nicht (aber okay, Amazon weiß natürlich, was ich so alles bestelle).
Hallöchen
Geniales Post. Da hat mich Yahoo erneut an einen genialen Blog geschickt.
Viele Grüße aus Heidelberg. Petri