Potentielles Sicherheitsleck in Twitter?
Mit dem Thema des Social Chattings im Internet hat sich Twitter einen Namen gemacht. Sicherheit ist im Internet wichtig, da es auch immer öfters um persönliche Daten geht. Gerade bei Twitter erlebt man den individuellen Exhibitionismus der User auf’s schärfste Detail, und man möchte sicherlich nicht, dass jemand anders den Twitter-Account missbraucht. Per Zufall stieß ich vor wenigen Minuten auf ein potentielles Sicherheitsleck von Twitter, was für mich persönlich ein recht unübliches Prozedere darstellte. Ich kann es nicht reproduzieren, frage mich aber, ob jemand anderes dazu in der Lage ist. Das hier ist kein Security-Report.
Szenario: Mein alter Laptop wird von meiner Freundin Katharina derzeit genutzt. Auf der alten Krücke habe ich auch bereits Twitter genutzt. Kat nutzt Twitter ebenfalls. Als ich nach einigen Wochen den Laptop in die Hände bekam und Twitter im Browser aufrief, war sie logischerweise per Cookie bzw. Session angemeldet. Ich loggte sie mit dem „Sign Out“ Link in Twitter aus und war dann bereits angemeldet.
Hat Twitter keinen zentralen Cookie, der immer nur einen User pro Browser zulässt? Ich bin kein Sicherheitsexperte geschweige denn habe ich vertiefte Kenntnisse in Browsersicherheit, aber das kommt mir sehr komisch vor, dass ich immer noch angemeldet war… wer weiß Rat oder kann dieses Phänomen reproduzieren? Den Browser Cache schließe ich aus, da die aktuelle Diskussion zeitnah dargestellt wurde. Eventuell kann es über die zentrale A-DSL Verbindung des Routers gecached sein, was ich aber sehr stark bezweifel, da bisher keine Cacheprobleme bei der normalen Benutzung von Twitter auftraten. Ebenfalls schließe ich einen Bedienungsfehler aus! ;)
– wie sollte es ein zentrales cookie nutzen wenn man im , sms, s60 und www gleichzeitig nutzen kann? da ist es logisch das auch mehrere www möglich sind.
– „passwort merken‘ vielleicht? oder zählt das zu den ausgeschlossenen benutzerfehlern? ;)
Natürlich ist das Passwort gemerkt. Aber wenn ein „Sign Out“ durchgeführt wird, sollte jegliche Session beendet werden. Und Kosmar, ich bekam noch nicht einmal die „Login“ Maske… sondern war nach dem Klick auf „Sign Out“ schon angemeldet im selben browserfenster. Ich erwarte da zumindest, dass wenn ein Benutzer abgemeldet ist, dass ein anderer, der vorher dran saß, nicht eingeloggt ist.
mit ‚passwort merken‘ meinte ich den passwort manager z.b des firefox.
aber du hast recht, eigentlich meldet der einen auch nicht automatisch an , sondern zeigt die login maske. hm, aus versehen nebenbei auf enter gedrückt? schon seltsam. aber was ist denn mit dem üblichen vorgehen in einem solchen fall? schritt eins: fehler reproduzierbar? auf anderem rechner auch? usw? das hast du doch sicher ausprobiert bevor du sowas bloggst, oder?
Ich hatte das Szenario nicht und für SimpleSnip wechsle ich das öfteren den Account. Das hab‘ ich auch schon auf mind. 4 verschiedenen Rechnern gemacht unter XP und Ubuntu. Sowas ist mir dabei noch nicht passiert.
Ich gehe davon aus, dass Du es reproduziert hast um Irrtum auszuschließen?
Ist mir bewußt, dass Du den PW-Manager meintest.
Ich blogge doch gerade extra darüber verbunden mit dem Aufruf zur Lösung meiner Frage… weil ich es mir nicht zusammenreimen kann, dass nach dem „Sign Out“ ich einfach mit meinem Benutzernamen angemeldet war.
Gerade deshalb frage ich auch, ob es jemand reproduzieren kann – da ich es nicht hinbekommen habe. Ich versuche es selbst zu verstehen, finde jedoch keine Lösung und bitte nur um Mithilfe. ;)
Im Prinzip ist es auch vollkommen Wurscht – aber an einem Samstag mit langem Wochenende hat man halt Zeit dafür sich in solchen Fällen Gedanken zu machen… hehe.
Hallo Mike,
ich könnte mir vorstellen, dass Twitter mit den Updates der Plattform auch an den Cookies gebastelt hat und aus Kompatibilitätsgründen auch ein älteres Cookie (du schreibst ja, du warst länger nicht mehr über dein altes Notebook angemeldet) akzeptiert wird.
Beim Ausloggen wurde Kats Cookie gelöscht und dein altes, was sich wohlmöglich noch auf dem Rechner befand (wenn du Cookies nicht automatisch löschen lässt), automatisch für dein Login verwendet.
Ich habe keine Ahnung, ob es so funktionieren könnte, aber als Szenario könnte ich es mir vorstellen.
Grüße,
Andreas
Cordobo, ich glaube das ist des Rätsels Lösung! Danke. ;)
Ich habe bei twitter.com festgestellt, dass die Seiten oft aus dem Cache kommen. Wenn ich angemeldet bin, was via Web dort schreibe und sich die Seite wieder aufbaut, sieht man den neuesten Beitrag nicht. Wundert mich eh, dass die da kein Ajax nutzen.
@Mike schau dir doch einfach mal die Cookies an, das geht ganz easy z.B per Web Developer Toolbar
Tja, wenn es wie Cordobo daran liegen kann, dass die alten Cookies waren, dann kann ich nichts mehr finden – die sind weg :(
Ich muss mal schauen, ob ich in einem anderen Benutzer am Laptop noch auf Twitter war… aber Kat sitzt grade dran und muss arbeiten.
die cookie sache hört sich plausibel an … wenn sie was dran geändert haben. wenn nicht, dann bleibts seltsam.