Golb Slexa ::

Facebook hat ja “coole” Features.

Man kann hier z.B. sein Passwort seines eigenen GMX-Accounts angeben und das nette Facebook-Tool sucht dann ein wenig in meinen privaten Sachen herum und zeigt mir, welche Freunde auch in Facebook sind.

Hallo?

Ich gebe auch nicht “irgendwem” meinen Wohnungsschlüssel, damit er sich mal in meiner Wohnung umschaut, durch meine Schränke und Fotoalben wühlt und mir schlussendlich sagen kann: ah hier, das Gesicht XY auf dem Sommer-Foto von 2006 hat auch nen Facebook Account.

Selbst wenn der “Irgendwer” mir sagt, er wirft dann anschliessend den Schlüssel auch weg - das ist dann ganz sicher. Klar doch.
(Anm.: Facebook schreibt, sie würden das Passwort nur einmalig verwenden und nicht speichern)

Was auch ziemlich dumm ist:

Also wenn ich schon mal meinen Webmail-Account bemühe, dann logge ich mich immer(!) mit SSL-Verbindung ein, damit Username und Passwort verschlüsselt übertragen werden. Und ich achte auf ein gültiges zertifikat (Schloss-Symbol im Browser).

Bei Facebook sind die besonders Guten: man befindet sich auf einer unverschlüsselten Seite (Webadresse mit http).

Im Sourcecode des Browsers findet man den verschlüsselten Request:

https://register.facebook.com/contact_importer/ajax/importer.php

Dass es im Hintergrund tatsächlich einen HTTPS-Request gibt und die Daten sicher übertragen werden, ist alles andere als offensichtlich und wird dem Benutzer durch Vorenthaltung der üblichen Sicherheitsmerkmale verheimlicht. Und das ist der Punkt, den ich partout nicht verstehe: wieso macht man das - wieso zeigt man bei Facebook nicht, dass es sicher ist?
Die wenigsten werden in den Sourcecode schauen oder die vom Webbrowser abgesetzten Requests sniffen.

Die Moral von der Geschicht: immer schön aufpassen! Bei Eingabe von Passwörtern, Einkäufen mit Kreditkarte, Bankgeschäften immer auf Verschlüsselung achten!