OAuthcalypse"OAuth" soll Passwortraub bei Twitter verhindern

Twitter zwingt Drittanbieter ab sofort in ein neues Authentifizierungsverfahren. Dass es deshalb jetzt zu Pannen kommt, ist kein Einwand gegen mehr Sicherheit. von 

twitter-conference

Von einer Umstellung war schon auf der Twitter Entwickler Konferenz in San Francisco im April die Rede gewesen. Vor allem das erhöhte Kommunikationsaufkommen während der Fußball-WM sorgte dafür, dass sich die Pläne verzögerten  |  © Justin Sullivan/Getty Images

Wer mit der XBox 360 spielt und soeben den Oberbösewicht in der finalen Schlacht erledigt hat, kann den Triumph sofort über Twitter mit seinen Freunden teilen . Wer andere Berliner vor Kontrolleuren in Bus oder U-Bahn warnen möchte, der tut das praktischerweise auch in 140 Zeichen ( #ublitzer.de ). Der Kurzmitteilungsdienst lässt sich mit Facebook, MySpace und einer Vielzahl anderer Anwendungen verknüpfen. So funktioniert das Internet heute, jeder interagiert mit jedem.

Das hat Tücken. So ein Twitter-Konto beispielsweise ist durch ein Passwort geschützt. Für eine Verknüpfung mit anderen Diensten müssen die Zugang zum Twitter-Account bekommen. Damit nicht bei jeder Interaktion dass Passwort erneut eingeben werden muss, verknüpfen sich Drittanbieter in der Regel über die sogenannte Basic-Authentifizierung: Einmal eingegeben, übernimmt der Dienst den Rest der Anmeldung. Klingt praktisch, ist aber nicht ohne Risiko.

Anzeige

Zum einen muss der Nutzer seinen Benutzernamen und sein Kennwort anderen Anwendungen anvertrauen, also weggeben. Zum anderen schicken die Dienste diese Daten dann jedes Mal mehr oder weniger geschützt durchs Netz. Wo zumindest theoretisch die Gefahr besteht, dass sie von Bösewichten abgefangen und zweckentfremdet werden.

Deshalb hat Twitter jetzt auf das Prinzip OAuth umgestellt , ein Verfahren, das von Experten als deutlich sicherer angesehen wird . Denn hier muss der Nutzer sein Passwort der Drittanwendung selbst nicht preisgeben und wird stattdessen auf die Twitter-Seite selbst umgeleitet. Hat er sich dort einmal identifiziert, gibt Twitter der Drittanwendung ein Okay, die Dienste können sich verknüpfen. Auch dabei gibt es Ansatzpunkte für Kriminelle, aber das Verfahren macht es ihnen deutlich schwerer.

Weshalb Experten allen Netzwerkdiensten schon länger dazu raten, auf OAuth als Authentifizierungsverfahren umzustellen. Und auch Twitter hatte diesen Schritt schon seit Monaten geplant. Drittanwendungen waren also vorgewarnt.

Dennoch kam es nach der Umstellung am Dienstag zur " OAuthcalypse ", wie der Totalausfall vieler Dienstleister mit veralteten Schnittstellen im Vorfeld getauft worden war. Dieses Scheitern Twitter selbst anzulasten, wäre jedoch unfair. Ein Argument gegen die Umstellung kann es jedenfalls nicht sein, dass es jetzt in einer Übergangsphase zu technischen Problemen kommt. Das wäre so, als wollte man zwar die Zahl der Verkehrstoten reduzieren, aber protestierte grundsätzlich gegen die Anschnallpflicht, weil man dann ja Sicherheitsgurte in die Autos einbauen müsste.

Leserkommentare
    • jahloo
    • 03. September 2010 6:31 Uhr

    Wer einen Dienst anbietet und dabei ein API nutzt sollte wenigstens ab und zu mal schauen, ob sich an der Schnittstelle etwas tut. Das die Änderung kommt, war seit Dezember 09 bekannt. Wer es in dieser Zeit nicht gebacken kriegt, seine Software an die neuen Anforderungen anzupassen, sollte die Finger davon lassen.

    • fulton
    • 07. September 2010 11:45 Uhr

    Offenbar hat Twitter die Implementierung von OAuth ordentlich versaut.

    Da würde ich als Entwickler vielleicht auch drauf spekulieren, dass sie das erstmal in Ordnung bringen, bevor ich diesen Murks selber benutze.

    http://arstechnica.com/se...

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Twitter | Bus | Facebook | Internet | MySpace | U-Bahn
Service