Facebook kann jetzt auch https (Update)

Facebook bietet jetzt auch endlich https als feste Einstellungsmöglichkeit an. Und sogar der Chat funktioniert dabei. Bisher musste man diese Einstellung immer manuell durch das weitere „s“ in der URL eingeben oder Werkzeuge wie https-everywhere nutzen. Zumindest bei der letzten Variante hatte ich gestern noch das dämliche Erlebnis, dass zwar alles https war, aber sobald ich auf die Privatsphäreeinstellungen klickte, dieser Schutz verschwunden war. Und wenn man sicherer Facebook nutzen wollte, musste man auf den Chat verzichten.

Gerade musste ich erstmal suchen, wo man in den komplizierten Einstellungen dauerhaft https einstellen kann. Das Feature findet man unter „Kontoeinstellungen“ und dort heißt die Einstellung „Kontosicherheit“. Das sollte man schleunigst ankreuzen, um zu verhindern, dass die Zugangsdaten nicht im Plaintext Session-ID übertragen wird und jeder Teilnehmer im Netz diese problemlos mit Tools wie Firesheep mitlesen kann. Probleme soll es weiterhin mit Drittanbietern auf der Plattform geben, die SSL noch nicht (richtig) implementiert haben. Aber wer Wert auf die eigene Privatsphäre legt, klickt eh nicht den ganzen Mist an Spielen und Quizs an, die oftmals primär dazu dienen, Zugriff auf Profildaten zu erhalten, um diese dann für Werbezwecke zu nutzen oder sonst was damit anzustellen.

Update: Papperlapapp, das funktioniert genau solange, bis man eine Anwendung anklickt, die kein htttps kann. Dann kommt eine Abfrage, ob man zu http wechseln will und in den Kontoeinstellungen wird das Häckchen wieder ausgeklickt. Unglaublich, welchen Schrott sich da Facebook mal wieder leistet. Muss gleich mal testen, ob es mit https-everywhere besser funktioniert, da taucht dann sicher wieder das Usmpringen auf http beim klicken auf die Datenschutzeinstellungen auf.

(Danke an Hanno und @vzsze für den Hinweis)

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

34 Ergänzungen

  1. Gottchen, man kann sich ja mal über ein Feature aufregen… FB muss das nicht anbieten, HTTPS bringt für sie nur Nachteile (höhere Serverbelastung) und keinerlei Vorteile – Auf jeder x-beliebigen Webseite surft man ohne die Verschlüsslung. Das Problem liegt doch vielmehr im HTTP-Protokoll selbst, was halt aus einer anderen Zeit noch stammt und extrem unsicher ist. Aber daran ist wahrscheinlich auch noch Facebook schuld…

    1. @Dirk: Man kann schon als Nutzer fordern, dass Facebook einen solchen Mehrwert bieten sollte und dass dieses Feature nach einer Einführung auch funktionieren sollte und sich nicht einfach so ausschaltet. Zumal Facebook gerade selbst erkannt hat, dass es etwas blöd ist, wenn reihenweise Profile von tunesischen und ägyptischen Aktivisten einfach von Sicherheitsbehörden übernommen werden, wenn die Nutzer nicht an https gedacht haben. (Abgesehen davon, dass man in Tunesien noch andere Tricks angewendet hat)

  2. „dass die Zugangsdaten nicht im Plaintext übertragen werden und jeder Teilnehmer im Netz diese problemlos mitlesen kann.“

    IMHO werden die ZUGANGSDATEN verschlüsselt übertragen. Nur die Sessiondaten dann eben nicht…. kleiner, aber feiner Unterschied

    @Dirk andere Seiten sind aber kein pseudo-geschützter Privater Kommunikationsraum.

  3. „um zu verhindern, dass die Session-ID übertragen wird und jeder Teilnehmer im Netz diese problemlos mit Tools wie Firesheep mitlesen kann.“

    Jeder Teilnehmer im Netz. Problemlos. Na klar.

    Kann mal bitte jemand die Ahnungslosen wieder einsperren?

    Danke.

  4. Ein bisschen OT, aber wie sieht es denn mit eurem Sicherheitsertifikat aus? Firefox und Chrome melden mir das sei nicht vertrauenswürdig.

    1. @Sebastian: Wir müssen das nochmal checken, ist ein cacert-Zertifikat, eigentlich müssten die das erkennen, aber vll gibts einen Bug bei uns.

  5. @markus: Leider nein, Firefox (und vermutlich auch Chrome) kann in der Standardkonfiguration bis heute kein CAcert.
    Da bleiben nur kostenpflichtige Zertifikate oder StartSSL, das in der kostenlosen Variante leider keine allzu sichere Inhaber-Verifikation macht.

  6. Die Serverbelastung dürfte sich wirklich in Grenzen halten mit RC4 als Cipher und MD5 als Digest.

    Es gab mal einen Bericht von Google, dass das praktisch irrelevant ist für ihren Betrieb.

  7. Waren hier nicht gerade noch 17 Kommentare beim Durchblättern? Oder wurden die Trollposts ‚rausgefiltert‘?

  8. @Vit #14

    Jupp, die Kommentare eines Trolls mit Fäkalfetisch sind anscheinend im Müll gelandet

    Was anderes: bei https etc. verursacht meist nicht das Scheuchen der Daten über die verschlüsselte Verbindung die Serverlast sondern vorher der Handshake. Die Kommunikation läuft über symmetrische Vershclüsselungen, die gut/schnell zu rechnen sind; aber vorher muss erst noch über ein asymmetrisches Verfahren die Identität, Schlüsselaustausch u.ä. abgeklärt werden und da ist auch die Last grösser und ungleicher verteilt, da der Server einen Grossteil der Rechenarbeit erledigen muss.

    Allerdings gibt es für alles schon Acceleratoren in Hardware…

  9. Wie im Update des Posts schon gesagt, wehren sich die Anwendungen gegen „HTTPS“. Kennt da jemand eine Möglichkeit wie man das trotzdem aktivieren kann, also extern.

    Gruß
    Vincent

  10. Wer sich auf Facebook tummelt, zeigt alleine damit, daß er einen an der Schüssel hat.

    Alle sind da?? Jeder??

    Nein, eben nicht! Kein Mensch mit Hirn befindet sich in diesen Gefilden! Und wer schreibt: „Was?? Du bist da nicht, das gibt es doch gar nicht, jeder ist da…“, dem sei gesagt, daß es auch früher hieß: „Was? Du bist nicht in der Hitlerjugend? Da ist doch jeder!! Du nicht?? Du bist ja ein Außenseiter!!“

    Ich sage Euch: Jeder, der nicht bei Facebook ist, hat Hirn. Der Dreck geht in die falsche Richtung.

    Und ich hoffe, der Dreck wird seine Strafe erhalten. Früher oder später.

    An alle anderen Menschen, deren Verstand funzt:
    Macht weiter so! Bleibt dem Dreck fern.

    Ihr werdet täglich belohnt.

    Jeden Tag ohne Werbung, Datenschleudern, Belästigung, Ausforschung, Straftaten, Durchleuchtung…etc..

    Kritische Beiträge hierzu kann man auf diesem Board nicht erwarten, da der beschissene Betreiber selber Werber für die Pest ist.

  11. Und wer, wie oben gesichtet, auch noch keine Ahnung von irgenwas hat, aber andere Leute anpisst, der sollte auf Nummer 1297173982856 besonders aufpassen.

    Alles fit im Schritt???

    Schönen Abend noch!

  12. Danke!
    (wird zeit dass ich mich bei flattr anmeld, bei den vielen nützlichen Infos die man hier bekommt..)

  13. Kurze Frage: Weiß jemand, ob das auch für die Facebook iPhone App gilt? Gerade da macht HTTPS ja Sinn, wenn man sich unterwegs mal in ein WLAN einloggt*.

    *) und da meine ich ja nicht einmal die unverschlüsselten.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.