Facebook will auch Apps und Mobilversionen per HTTPS verschlüsseln

Manche Apps unterstützen noch kein SSL. Wechseln Anwender zur Nutzung der App auf eine ungesicherte Verbindung, müssen sie HTTPS erneut aktivieren. Facebook will das Problem schnellstmöglich beheben.

von Anita Klingler und Elinor Mills am 25. Februar 2011 , 16:34 Uhr

Facebook hat seine Entwickler-Community dazu aufgerufen, Apps zu programmieren, die HTTPS unterstützen. Auch mobile Geräte will das Social Network künftig besser gegen Attacken schützen. Vergangenen Monat hatte Facebook eine Möglichkeit bereitgestellt, Sitzungen Ende zu Ende per HTTPS zu verschlüsseln.

Manche Apps fordern Nutzer dazu auf, wieder auf eine ungesicherte Verbindung umzusteigen, weil sie HTTPS nicht unterstützen, wie Sean Sullivan von der Sicherheitsfirma F-Secure festhält.

Der Wechsel gilt allerdings nicht nur für die Nutzung der App, sondern für alle Verbindungen. HTTPS muss in den Sicherheitseinstellungen wieder neu aktiviert werden. Auf Anfrage von ZDNet erklärte ein Facebook-Sprecher, das Unternehmen arbeite daran, das Problem zu beheben.

„Wir drängen unsere Entwickler von Drittanwendungen dazu, HTTPS so schnell wie möglich zu unterstützen“, heißt es in einer E-Mail des Firmensprechers. „Dennoch sehen wir, dass es eine Reihe von Unstimmigkeiten im Prozess gibt.“ Man arbeite daran, das Umschalten auf HTTP zur Nutzung einer Applikation auf eine Sitzung zu beschränken. Beim nächsten Log-in kehrt das Konto zu einer gesicherten Verbindung zurück. „Wir testen diesen Ablauf im Moment und hoffen, dass wir die Funktion in naher Zukunft herausbringen können.“

Laut Dan Wallach, Professor an der Rice University, ist die HTTPS-Option auf die Website beschränkt. Er nutzte das Netzwerkprotokoll-Analysetool Wireshark und den Proxy Mallory, um sein eigenes Android-Smartphone zu hacken. Obwohl er HTTPS in seinen Kontoeinstellungen aktiviert hatte, wurden die Sitzungsdaten unverschlüsselt übertragen.

Auf Anfrage von ZDNet teilte Facebook mit, es werde SSL in den kommenden Monaten auch für mobile Geräte zur Verfügung stellen. „Wir testen SSL momentan auf allen Facebook-Plattformen“, erklärte ein Sprecher. „Wie immer raten wir unseren Mitgliedern zur Vorsicht, wenn sie Daten über ungesicherte WLAN-Netze senden oder empfangen.“

Facebook hatte die Option „Secure Browsing“ im Januar zunächst in den USA ausgerollt. Sie steht mittlerweile unter der Bezeichnung „Sicheres Durchstöbern (https)“ auch hierzulande zur Verfügung und lässt sich in den Kontoeinstellungen aktivieren.