Facebook krypterer ikke login-oplysninger på iOS eller Android

Nyheden skrev:

Det sociale netværk kendte angiveligt allerede til problemet, og arbejder i øjeblikket på en løsning.

Self. gjorde det, så slipper de jo for at udbetale deres "dusør" ting.
Men lækkert det var en af "de gode" der opdagede det, og ikk en af "de onde"..

Så er det jo nok en god idé at have skifte sin kode til Facebook i ny og næ. Men det burde ret hurtigt kunne ses hvis der begynder at komme spam på ens konto, for det er da vidst det som Facebook primært bruges til. Bruges den som login til et eller andet, så vil det jo også kunne opdages ret hurtigt.

Risikoen er mest hvis man har valgt at bruge Facebook coins formoder jeg.

kblood (2) skrev:

Så er det jo nok en god idé at have skifte sin kode til Facebook i ny og næ. Men det burde ret hurtigt kunne ses hvis der begynder at komme spam på ens konto, for det er da vidst det som Facebook primært bruges til. Bruges den som login til et eller andet, så vil det jo også kunne opdages ret hurtigt.

Risikoen er mest hvis man har valgt at bruge Facebook coins formoder jeg.

Aflæsningen af koden kræver jo at har et lokalt program installeret på dit devise som er malware og snupper koden. Det er ikke noget der sker helt af sig selv, og det sker måske slet ikke endnu.

Eftersom iOS-applikationer har mindre adgang til systemet, og ikke kan læse andre applikationers data, er systemet bedre sikret mod problemet end Android

Android applikationer kan heller ikke læse hinandens data. Det er kun data som applikationen har valgt at lægge på det fælles område til dataudveksling som andre applikationer kan læse.

Hvad skulle kryptering hjælpe? De er jo også nødt til at opbevare nøglen et sted. Og hvis de har en sikker metode til at opbevare en nøgle, så brug dog den til passwordet i stedet for.

Jeg vil til gengæld sige at det er en designfejl, hvis applikationen skal bruge password for at logge på.

Når en browser giver mulighed for at gemme passwords giver det lidt mening fordi udviklerne af browseren ikke har mulighed for at modificere koden på alle de websites, de gemmer passwords til.

Men når vi snakker om en officiel applikation udviklet af samme firma som det site den forbinder til, så er der ingen undskyldning for ikke at bruge en mere sikker løsning.

En bedre løsning vil være en cookie, der som udgangspunkt er gyldig lige så længe som passwordet. Om man bruger en http cookie eller en cookie implementeret på et højere niveau i softwarestakken er i princippet ligegyldigt.

Denne cookie skal i de fleste forbindelser bruges præcist som man ville bruge sit password og skal give adgang til næsten det samme. Denne cookie skal beskyttes lige så godt som applikationen ville have beskyttet passwordet.

De eneste måder denne cookie vil være begrænset i forhold til passwordet er, at den kan annulleres uden at ændre passwordet, og at den ikke kan bruges til at ændre password eller annullere andre cookies.

Går man ind på sitet skal man kunne se en liste over de cookies der på det givne tidspunkt er gyldige, og man skal kunne annullere dem enkeltvis, men man vil i så fald blive bedt om password.

Når man ændrer sit password skal man også indtaste sit gamle password, og som default skal alle cookies annulleres på dette tidspunkt (på nær den man brugte til at ændre passwordet).

På den måde vil passwordet ikke falde i de forkerte hænder, hvis man skulle miste en enhed. Det vil være mere sikkert, og for den typiske bruger vil man ikke kunne se forskel på om applikationen gemmer passwordet eller blot en cookie.

kasperd (4) skrev:

Hvad skulle kryptering hjælpe? De er jo også nødt til at opbevare nøglen et sted. Og hvis de har en sikker metode til at opbevare en nøgle, så brug dog den til passwordet i stedet for..

Nu er der en ret stor forskel på at have et krypteret password og et der ikke er liggende i en fil på telefonen som alle andre applikationer kan tilgå. Jo du vil stadig kunne loggge ind via deres mobil apps hvis du får fat i oplysningerne men du vil ikke kunne komme ind på den almindelige web side med mindre du bryder krypteringen.

key'en som du nævner vil jo nok komme til at ligge på facebooks server du laver jo ikke lokal autorisation det ville være helt hen i vejeret

Men der der dog stadig sygt at de ikke har haft kryptetet det det kræver ikke ligefrem det store arbejde

DemonSpawn (5) skrev:

key'en som du nævner vil jo nok komme til at ligge på facebooks server

I så fald er der ingen grund til at bruge et password. så kan man lige så godt bruge en cookie som jeg beskrev og opnå større sikkerhed.

cryo (3) skrev:

kblood (2) skrev:

Så er det jo nok en god idé at have skifte sin kode til Facebook i ny og næ. Men det burde ret hurtigt kunne ses hvis der begynder at komme spam på ens konto, for det er da vidst det som Facebook primært bruges til. Bruges den som login til et eller andet, så vil det jo også kunne opdages ret hurtigt.

Risikoen er mest hvis man har valgt at bruge Facebook coins formoder jeg.

Aflæsningen af koden kræver jo at har et lokalt program installeret på dit devise som er malware og snupper koden. Det er ikke noget der sker helt af sig selv, og det sker måske slet ikke endnu.

Ja, men min pointe var også at selv hvis det skulle ske, så er det ret begrænset hvad de kan bruge den data til. Hvis det er et personligt angreb imod en enkelt person eller flere, så kan det da bruges til noget. Måske endda en del, men i første omgang er det ikke noget som direkte kan føre til et økonomisk tab.

cryo (3) skrev:

Aflæsningen af koden kræver jo at har et lokalt program installeret på dit devise som er malware og snupper koden. Det er ikke noget der sker helt af sig selv, og det sker måske slet ikke endnu.

Hold dig fra at være "popsmart" når du ikke kan skrive engelsk.

Det hedder device eller unit som betyder enhed på dansk.

#8:
Apropos... Du mangler et par kommaer.

Giljaro (8) skrev:

cryo (3) skrev:

...installeret på dit devise som er malware...

... det hedder device eller unit som betyder enhed på dansk.

Er jeg den eneste der finder det morsomt, at han er belærende om, ikke at bruge ordet "devise"? :)

newz.dk skrev:

iOS eller Android

Hvilken af dem er det så, der ikke krypterer det?

@XorpiZ: Du er nødt til at forklare mig, hvorfor du synes mit indlæg er irrelevant. Du kan roligt slappe af på din aftrækkerfinger - jeg svinede ikke Windcape i denne omgang :-)

#12

Der er intet relevant over dit indlæg. Det er ikke raketvidenskab.