Dieser Artikel erschien ursprünglich in der zweiten Version meines Weblogs, uninformation.org Vers. 1, das von Dezember 2006 bis Juni 2009 aktiv war, und wurde hier aus blognostalgischen Gründen archiviert. Neue Artikel hat die aktuelle Blogversion im Angebot.
Sicheres Gruppen-Twittern mit Twitterific
Geek-Events wie die re:publica gehen in diesen Zeiten mit einem ordentlichen Getwitter einher.
Auf unserem wunderbaren Mac ist Twitterific das Werkzeug, um in das virtuelle Großraumbüro zu schreien. Das Problem dabei: Twitterific ist eine Art Browser, der mit jeder Abfrage die Login-Daten im Klartext überträgt. Dabei können sie problemlos mitgesnifft werden und unser Twitter-Account ist »ge0wned«.
Ergebnis: Plötzlich twittern wir garstige Dinge, die wir öffentlich nie sagen würden. Alle wenden sich von uns ab, in den Konferenzräumen verstummen die Gespräche, wenn wir hinein kommen, kurz und gut: Wir sind erledigt, und alles nur, weil wir unverschlüsselte Daten übertragen haben!
Aber das muss nicht sein. Lesen bildet, im Download-Archiv von Twitterific 3.1 befindet sich eine Datei namens »Read Me.rtf«, die u.a. eine Liste mit so genannten »Power User Preferences« enthält. Diese werden über das Terminal ein- oder ausgeschaltet.
Lange Rede, kurzer Sinn: So geht’s:
- Twitterific beenden.
- Terminal öffnen.
- Dort eintippen:
defaults write com.iconfactory.Twitterrific protocol -string "https://" - Fertig.
Ab jetzt überträgt Twitterific seine Daten verschlüsselt:
Übrigens lohnt sich ein Blick in das »Read Me«, Twitterific bietet noch weitere nützliche Einstellungen. Beispielsweise kann man einen Wortfilter als RegEx angeben, was sehr nützlich ist, wenn sich die Kontakte über komische Sendungen im Unterschichtenfernsehen kaum einkriegen können. ;)
16 Kommentare
Matthias am 30.03.2008:
Dankeschön!
Wichtig: den Befehl NICHT hier einfach rauskopieren, die schönen Anführungszeichen machen Twitterific kapott und müssen durch ganz normale grade ersetzt werden. #puh
Ralf G. am 30.03.2008:
Oh ja, Danke für den Hinweis. Ich habe das mal anders formatiert, nun sollte es passen.
TabTwo am 30.03.2008:
Eigentlich sehr peinlich dass da im Klartext kommuniziert wird.
Sicherheit ist irgendwie kein Designziel von diesem ganzen Web 2.0 Geraffel :(
Ralf-Jürgen Stilz am 30.03.2008:
Und woran erkennt man, dass es funktioniert hat?
Ralf G. am 30.03.2008:
TabTwo, die haben andere Prioritäten, wichtig ist das die automatischen Werbeeinblendungen gut funktionieren, Sicherheit nicht so. ;)
Ralf-Jürgen, mit
sudo tcpdump -i en1|grep “128.121.146.100”
(Anführungszeichen müssen ganz normale sein, das Textile verschönt die hier unfreiwillig!) kannst Du im Terminal anschauen, wohin verbunden wird, wenn Twitterific Daten austauscht. Es sollte dann etwa so aussehen wie in dem zweiten Bild oben.
Ralf-Jürgen Stilz am 30.03.2008:
Super, hat funktioniert. Vielen Dank und weiterhin viel Spaß am Gerät!
rajue
nero am 30.03.2008:
interessant wäre ja nun, wie es bei den anderen apps aussieht, sprich bei twibble, snitter, twhirl und wie sie alle heißen.
danke auf jeden fall für den hinweis.
Helmut am 30.03.2008:
Vielen Dank für den Tipp, so muss ich nicht händisch auf der https://-Seite von Twitter lostippen. Leider scheitert bei mir die Überprüfung der Wirkung des Zauberspruchs, das Terminal gibt folgendes aus, danach herrscht Funkstille. Weiß jemand Rat?
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on en1, link-type EN10MB (Ethernet), capture size 96 bytes
Ralf G. am 30.03.2008:
nero, keine Ahnung, ich nutze nur Twitterific, weil es nativ ist mit Growl etc., AIR-Programme erscheinen mir immer wie Fremdkörper.
Helmut, Du hast entgegen meiner Warnung ;) den Befehl einfach so “reingepastet”, die »schönen« typografischen Anführungszeichen um die IP-Adresse hier im Kommentar müssen im Terminal durch ganz normale ersetzt werden, dann sollte es funktionieren.
Malte Diedrich am 30.03.2008:
Man könnte ja vermuten, dass die Einblendung von Anzeigen deswegen wichtiger sei, weil das Verarbeiten von https-Verbindungen mehr Prozessorlast erzeugt und somit teurer ist. Aber das nimmt ja den Spass am Bashen.
Ralf G. am 30.03.2008:
Malte, von mir aus dürfen sie gerne Werbung einbauen, Programmieren will schließlich bezahlt sein ;).
Aber eine unverschlüsselte Übertragung von Login-Daten bei jedem Request, wo sich die Mehrheit der Benutzer dieser Gefahr garantiert nicht bewusst ist, und nicht einmal ein kleines Knöpflein mit einem Hinweis »Wenn Du das anklickst dann kann das Deinen Rechner langsamer machen aber es ist sicher in nichtsicheren Umgebungen« ist in der GUI zu finden – das ist IMHO eine etwas arge Geringschätzung dieser Problematik. Das hat nichts mit »Bashen« zu tun.
Malte Diedrich am 31.03.2008:
Meinen Rechner macht es nicht langsamer (bzw nur unwesentlich), es macht deren Rechner langsamer, bzw teurer. Und den Zusammenhang zwischen Sicherheit und Anzeigen hast du reingebracht…
Ralf G. am 31.03.2008:
Auf einem langsamen System mit lahmer Verbindung wird es auch beim Client langsamer werden.
Das mit Werbung und Sicherheit sollte, wenn auch einw enig polemisch ;), nur die offenkundigen Prioritäten bei der Entwicklung aufzeigen.
Helmut am 31.03.2008:
Ralf G.: Ich verwahre mich den Vorwürfen, hier wie ein DAU vorgegangen zu sein! ;)
Im Ernst: Händisches Abschreiben des Terminalbefehls verursacht bei mir jedes mal die obige Fehlermeldung, hier auch bildlich festgehalten.
Egal, vielen Dank für den Tipp, wird schon funktionieren, auch wenn mein begrenzter Horizont mich an der Überprüfung scheitern lässt.
Ralf G. am 31.03.2008:
Okay, dann könnte es auch daran liegen, dass Du gerade nicht mit en1 im Internet bist. en1 ist meistens der WLAN-Adapter, Ethernet en0. Und man muss natürlich, wenn das tcpdump läuft, einmal Twitterific »refreshen«.
Aber ich will ja nicht hier mit DAU-Vorwürfen kommen. ;)
Helmut am 31.03.2008:
@Ralf G. Dankeschön, das wars. Hack hat funktioniert.