Yhoko.com, 4. November 2010 | |
Firesheep-Problem | |
Die Entwicklung stand heute ganz im Zeichen der "Firesheep" Extension für Firefox. Wers nicht kennt, sollte sich schleunigst informieren, denn mit dieser Extension kann man ganz bequem über WLAN fremde Sitzungen (z.B. Facebook, Yahoo, generell Webmail) sammeln und sich dann als diese Leute einloggen. Der Entwickler wollte damit auf das massive Sicherheitsleck hinweisen (die Session-ID bleibt meist unverschlüsselt, selbst wenn der Login via SSL erfolgt). Da man das Tool überall einsetzen kann, ist Yhoko.com genauso betroffen wie alle anderen Spiele und Seiten, die einen Login erfordern und mit Sessions arbeiten (also quasi alle). Problem bei der Sache ist: So ein SSL Zertifikat kostet Geld und muss regelmässig erneuert werden. Okay, das wär nicht so schlimm, aber aufgrund seiner Natur braucht man für jede Subdomain ein eigenes Zertifikat. Yhoko.com hat Dutzende dieser Subdomains und jetzt mit der Spracherweiterung werden es nochmal doppelt so viele (allein schon starly.yhoko.net und de.starly.yhoko.net und en.starly.yhoko.net zählen separat, und das Ganze nochmal für www.yhoko.net selbst und nochmal die ganze Geschichte für die .com Adressen). Das können wir uns schlichtweg nicht leisten und da alles zusammenhängt, bringt es nichts, nur die Hauptadresse abzusichern. Im Augenblick suche ich nach einer praktikablen Lösung und halte euch auf dem Laufenden. Lästig sowas. |
|