Google+ und die Browser-Sicherheit
Kommentare

Ray Kelly, Manager für Client Side Technology bei Barracuda Labs, beschäftigt sich schon seit langem mit der Sicherheit im Internet. Dabei sieht er sich auch immer wieder die Header der verschiedenen

Ray Kelly, Manager für Client Side Technology bei Barracuda Labs, beschäftigt sich schon seit langem mit der Sicherheit im Internet. Dabei sieht er sich auch immer wieder die Header der verschiedenen Seiten an; unter anderem auch die von Facebook und Google+. Sein Fazit ist klar: Google+ Gets a „+1“ for Browser Security.

Dabei hat er sich den HTTP-Traffic zwischen dem Social Network und dem Browser angesehen. Was er dabei herausgefunden hat, gefällt. So hat er beispielsweise herausgefunden, dass die komplette Kommunikation über SSL läuft – and non SSL is not even an option.

Auch für das Cookie-Handling kann er nur gute Noten vergeben: Set-Cookie hat die Werte Secure und HttpOnly; beides sind gute Voraussetzungen für eine sichere Handhabe. Hinzu kommen mit SAMEORIGIN für X-Frames sowie eine aktivierte X-XSS-Protection.

Facebook indes verzichtet auf diese simplen Mechanismen – SSL wird gar nur optional angeboten – und die Einstellungen dazu sind Facebook-typisch nicht unbedingt auf den ersten Blick zu finden.

Google+ vs. Facebook-Header Header-Kampf der Titanen: Google+ vs. Facebook

Natürlich ist das kein Garant für absolute Sicherheit; aber immerhin ein gelungener, erster Schritt:

Do these security measures make Google+ impervious to malicious activities?  Absolutely not.  Is it a good start?  Yes, it is. And further, it is good to see an app make its debut with security in mind.  It actually gives us Infosec folks a bit of hope that developers are listening and doing the right thing.Ray Kelly, 2011

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -