Unsichere App?

  • Für das OAuth bei uns der Firma habe ich es eben getestet. Die Ablaufzeit liegt hier für die Anmeldung im Bereich von 2 bis 3 Minuten, für die Session bei 30 Minuten. Und mit dem Log Out erlischt natürlich auch das Refresh Token. Google mag längere Zeiten haben.

    Davon ist auszugehen – oder hat man hier schon mal davon gehört, daß Nutzer von GMail immer und immer wieder die Authentifizierungsprozedur durchlaufen müssen. Ich kann mich nicht erinnern.


    Solange das Refresh Tokens gültig ist, bleibt die Schwachstelle des OAuth Protokolls – fehlende Authentifizierung bei der Nutzung des Tokens – bestehen. Das hat nichts mit schlechter Stimmung gegen Googles Änderungen zu tun.

  • Davon ist auszugehen – oder hat man hier schon mal davon gehört, daß Nutzer von GMail immer und immer wieder die Authentifizierungsprozedur durchlaufen müssen. Ich kann mich nicht erinnern.

    Natürlich nicht. Lass uns doch mal überlegen, woran es wohl liegen könnte, dass diese Nutzer sich gar nicht neu anmelden müssen? Der Hilfeartikel zeigt es bereit auf: Weil sie den Passwortspeicher benutzen und Cookies zugelassen haben. Oh Mann ... . :D

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Weil sie den Passwortspeicher benutzen und Cookies zugelassen haben.

    Passwortspeicher mit optionalem Masterpasswort …


    Aber natürlich – ich vergaß: 'Wer ein Google/GMail Konto hat, hat auch nichts zu verbergen' und wählt gewöhnlich den bequemsten Weg.

  • Aber natürlich – ich vergaß: 'Wer ein Google/GMail Konto hat, hat auch nichts zu verbergen' und wählt gewöhnlich den bequemsten Weg.

    Was sollen denn jetzt solche Allgemeinplätze? Mit OAuth hat das ja nun grad gar nichts mehr zu tun. Dass E-Mails beim Provider gescannt werden, ist längst kein Alleinstellungsmerkmal von Google mehr. Auch GMX und WEB . de beispielsweise mischen da inzwischen kräftig mit.


    Solange das Refresh Tokens gültig ist, bleibt die Schwachstelle des OAuth Protokolls – fehlende Authentifizierung bei der Nutzung des Tokens – bestehen.


    Auch das ist leider wieder dieselbe Halbwahrheit wie die ganze Zeit über. Um an ein gültiges Token zu kommen, müsste der Angreifer die Infrastruktur von Google hacken. Der kann dann auch Zugriff auf dein Konto mit dem App-Passwort erlangen. Zudem verliert jedes Token mit dem Log Out seine Gültigkeit, ganz im Gegensatz zu dem von dir favorisiertem App-Passwort. Das ist viel leichter angreifbar als OAuth.


    Das hat nichts mit schlechter Stimmung gegen Googles Änderungen zu tun.

    Die Art, wie du hier ständig bei jeder Gelegenheit gegen OAuth schreibst, lässt kaum einen anderen Schluss zu.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Diese Tokens bekommst du gar nicht zu sehen.

    Nur der Vollständigkeit halber:

    If account authentication was set to OAuth2 and the OAuth login was successful, you should see entries for each username (gmail account) of the form

    oauth://accounts.google.com (https://mail.google.com/ …)

    Note: The oauth entry is an OAuth2 authentication token, and not a password.

    Automatic Conversion of Google mail accounts to OAuth 2.0 Authentication | Thunderbird Help

  • Nur der Vollständig halber. Dieses Token ist jenes, das ich bisher der Einfachheit halber unter Benutzername/Passwort geführt habe. Es ist im Prinzip auch genau das. Löscht man es aus dem Passwortspeicher, muss man sich neu anmelden. Wie bei einem normalen Paswort auch.


    Es hat nichts mit den Tokens zu tun, die dann das eigentliche OAuth ermöglichen, sprich das Nutzen dieser Anmeldung für weitere Dienste. Die dafür nötigen Tokens werden zwischen den beteiligten Servern ausgetauscht.


    Nachtrag: Jetzt hätte ich beinahe das Wichtigste vergessen. Dieses Benutzertoken aus dem Passwortspeicher lässt sich natürlich nicht einfach auf einen anderen Rechner übertragen. Das ist ein wesentlicher Unterschied zu einem normalen Passwort. Man kann es nicht einmal auf demselben Rechner in eine anderes OS übertragen. Das hier

    Danach kann jeder im Besitz des Tokens auf das Konto zugreifen.

    Ist und bleibt falsch. Und wieder gilt: Das hättest du einfach vorher mal testen sollen, anstatt hartnäckig weiterhin die Unwahrheit zu behaupten.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Edited once, last by Susi to visit ().

  • Veteran: P. S. Google den Zugriff auf alle Mails und Aktivitäten zu gewähren, aber Angst vor der Bekanntgabe einer Rufnummer zu haben, finde ich irgendwie bizarr


    Beim Google Account hat Google Zugriff auf Mails-überraschend? Was, wenn diese verschlüsselt sind? Was, wenn nur Rundbriefe, Yt, nicht geschäftlich o. privat? Was sind ausserdem "Aktivitäten"?

  • "App Passwort"=jene Eingabe, die beim Tb-Start zu machen ist?

    Testhalber Kekse erlaubt, half nix. Dann OAuth gesetzt, Fenster ging auf, für Gmailpassworteingabe. Beliess es damit, nicht eingegeben. Ist ausserdem die Rufnummer anzugeben? Sehe mir die Unterlagen dazu an, damit ich sehe, was es damit auf sich hat-Link dazu? Veteran gab oben einen an. Gibt es sonst was, was ich lesen müsste? Wo sind die Kekse gespeichert, was beinhalten diese, was verraten sie Google?

  • Moin,


    Jeanne kannst Du bitte richtig zitieren?! Nicht nur das es dir die Arbeit erleichtert, es hilft auch den Lesern beim Verständnis. Genauso solltest Du bedenken, das mit "@VE" du niemandem hinterm Busch hervorlockst... nur Veteran klappt. (Sorry Veteran das Du dafür herhalten mußt ;) )


    BTT:


    "App Passwort"=jene Eingabe, die beim Tb-Start zu machen ist?

    Das kommt drauf an, wenn du keine Paßwörter speicherst aber beim Start von TB die Mails abrufst dann mußt Du evtl. das App-Paßwort eingeben...


    Testhalber Kekse erlaubt, half nix. Dann OAuth gesetzt, ....

    Für Anmeldung ohne OAuth2 brauchst du keine Cookies...

    Testhalber Kekse erlaubt, half nix. Dann OAuth gesetzt, Fenster ging auf, für Gmailpassworteingabe. Beliess es damit, nicht eingegeben. Ist ausserdem die Rufnummer anzugeben?

    Die Rufnummer muß man für OAuth2 nicht angeben bei Google, wie kommst du auf die Idee...

    Wo sind die Kekse gespeichert, was beinhalten diese, was verraten sie Google?

    Wie Susi to visit sehr ausgiebig geschrieben hat, für die erstmalige Anmeldung mit Oauth2 sind Cookies nötig, nur dann kann daraus der Token-Kram erstellt werden und dann sind erst mal keine Cookies mehr nötig, wie MSFreak gezeigt hat. Diese Cookies beinhalten Informationen damit der OAuth2 Token gebildet wird... da er danach nicht gebraucht wird sollte dieser eigentlich von alleine gelöscht werden... das ist kein Cookie zum Tracking, (da er ja gelöscht wird).


    Aber gut - wenn du wirklich wissen willst was in den OAuth2 Anmeldecookies steht dann mußt Du wirklich tief ins Anmeldeverfahren gucken, halte ich für nicht sinnvoll, die Anmeldecookies beinhalten nicht wesentlich mehr Daten als das was du Google selbst verraten hast.


    Grüße dErzOnk

  • Einmal kurz nachgedacht: Wenn man sich anmeldet, ist man identifiziert. Das ist ja gerade der Sinn der Sache. Da braucht Google dann logischerweise kein Tracking-Cookie mehr. Die wissen dann ja, wer sich angemeldet hat.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Jeanne

    Selected a post as the best answer.
  • Kekse waren vorher keine drin, Kekse erlaubt, immer noch keine drin. OAuth2 gesetzt-alles wiede normal. Danke für die konstruktiven Antworten!

    PS, OT: Mein Tb ist portable. Mehrmals, über Jahre, waren nach einem Update alle Konten u. Einstellungen weg. Da Sicherung vorhanden, ging es sofort weiter, Update erst mal weggelassen