Anmelden im Netz

Browser-Plugin soll Authentifizieren sicher machen

(Bild: TU Wien)

Ein neues, an der TU Wien entwickeltes Browser-Plugin soll das Authentifizieren beim Einloggen über Social-Media-Accounts sicher machen. Die Erweiterung tritt als Barriere zwischen bösartigen Skripts und Browser auf. Der Datenaustausch wird dabei so überwacht, dass es nicht möglich sei, das Plugin zu überlisten, verspricht die Uni.

„Sich im Internet mithilfe von Social-Media-Accounts irgendwo einzuloggen, ist ganz alltäglich geworden“, sagt Professor Matteo Maffei vom Institut für Logic and Computation der TU Wien. „Man kann sich etwa über den Facebook-Account bei Instagram anmelden oder auf verschiedenen Online-Foren von Blogs oder Online-Magazinen.“ Dabei erhält die jeweilige Website, auf der man sich einloggen möchte, Daten direkt von Facebook oder Google. Allerdings ist dabei nicht klar zu sehen, welche Programme auf dieser Website noch laufen und eventuell gefährliche Aktionen setzen.

Möglich ist etwa, dass die Social-Media-Zugangsdaten, mit denen man sich authentifiziert, verbotenerweise verwendet werden, um zusätzliche Information abzusaugen. „Das attackierende Programm kann dann auf persönliche Daten zugreifen, Listen von Freunden abfragen oder sogar herausfinden, welche Seiten ich besucht habe. Im schlimmsten Fall kann es sogar meinen Social-Media-Account übernehmen“, erklärt Maffei.

(Bild: sibashouse/stock.adobe.com)

Barriere zwischen Browser und bösartigen Scripts
Mit seinem Team entwickelte er daher eine Browser-Erweiterung, die als Barriere zwischen bösartigen Scripts und dem Browser auftritt. „Von Facebook kommt beim Authentifizieren ein Code zurück, mit dem man sich dann auf der Webseite des Drittanbieters einloggt“, erklärt Maffei. „Unser Plugin ersetzt diesen Code mit einem zufällig generierten Ersatzcode. Der echte Code wird nur für die Kommunikation mit Facebook verwendet, während Scripts auf anderen Webseiten nur den Ersatzcode sehen. Die Browser-Erweiterung ist der Datenübermittler dazwischen. Dadurch wird es unmöglich, dass bösartige Scripts unerlaubterweise Daten mit Facebook austauschen.“

Doch nicht nur das: Vom Plugin wird der gesamte Datentransfer in und aus dem Browser überwacht. „Die Authentifizierungs-Protokolle sind genau definiert. Wir wissen also genau, welche Information in welcher Reihenfolge zwischen Browser und Webseite ausgetauscht werden muss“, erklärt Maffei. „Wenn sich die Webseite nicht daranhält, wenn etwa ein bestimmter Schritt in der Authentifizierungs-Sequenz angefragt wird, ohne dass die vorhergehenden Schritte erledigt wurden, dann handelt es sich um eine regelwidrige Aktion, die gefährlich sein kann.“

Eine erste Version des Plugin könne bereits für Googles Chrome-Browser heruntergeladen werden, hieß es. Zudem befinde man sich in Gesprächen mit anderen Browser-Herstellern, die das Plug-in direkt in ihre Browser integrieren wollen.