Entgegen anderen Sozial-Dingens-Angeboten fand ich “Twitter” wirklich unterhaltsam. Sozusagen der Burger unter den Netz-zwei-null-Geschichten: Schnell bestellt, schnell serviert, schnell ge- und wieder vergessen (und manchmal im Nachhinein Reue und/oder Bauchschmerzen ob leichtfertig hinzugegebenen Senfes).
Schon länger gewundert hat mich das etwas eigentümliche Verhalten des Dienstes gegenüber Nutzern (wie mir), die SSL nicht nur als tolle Sache betrachten, sondern auch nutzen, wann immer es geht (Gründe genug gibt es dafür ja, seien es nun cyberkriminelle Zeitgenossen in Fernost oder solche in Bundesbehörden): Für die Anmeldung wird man nicht nur nicht, wie bei ordentlichen Anbietern gemeinhin üblich, auf eine mittels https-Protokoll gesicherte Seite umgeleitet. Im Gegenteil: Ruft man zur Anmeldung explizit die Anmeldeseite über https auf, wird man, sofern man die dann folgende Warnung über ein “falsches” (in Wirklichkeit nur dilettantisch konfiguriertes) Serverzertifikat zur Kenntnis nimmt und fortfährt, unmittelbar nach der Paßworteingabe sogar dediziert auf eine unverschlüsselte Verbindung zurückgeleitet.
Letzteres wäre im Grunde hinnehmbar (und verständlich, erzeugt doch eine verschlüsselte Verbindung dem Hoster nun mal deutlich mehr Datenlast als eine transparente), begleitete nicht – und das ist der für mich neue und zugleich erschreckende Aspekt – sofort und permanent ein sessionunabhängiges Cookie, mit dem jeder, der seiner habhaft wird, sich so lange in meinem Namen beim Dienst anmelden könnte, bis ich mein Paßwort einst ändere (sofern ich das dann noch kann), jeden weiteren Aufruf. (Details dazu gibt es hier.)
Welche Schlüsse mag (kann, muß) man daraus ziehen?
- Ich behaupte mal, man muß auch im vernetzten Zeitalter, will man mit einer Idee gnadenlos und auf Teufel komm raus reich und berühmt werden,
- entweder rotzfrech sein und stabile Ellenbogen haben,
- in der Lage sein, alle Bedenken (”aber was wäre, wenn ein böswilliger Benutzer…”) und ihre Träger zu ignorieren (”Hauptsache die Software läuft endlich”),
- gleich einem Rennpferd scheuklappengeschützt einen Blick ausschließlich für das simple Ziel (oft genug: “Erster sein!”) haben,
- sich nicht zu sehr mit dem Verhalten eingesetzter fertiger Softwarebibliotheken auseinandersetzen.
- SSL ist wichtig, Mißtrauen gegenüber vermeintlich professionellen Anbietern ist noch viel wichtiger.
- Vorsicht mit dem, was ich an persönlichen Daten wo auch immer paßwortgeschützt speichere, ist noch viel schwieriger zu realisieren, als ich ohnehin schon immer dachte.
Wie dem auch sei, man soll ja alles negativ und pessimistisch sehen: Ich werde dem zum Dank tun, was ich schon die letzten Tage getan habe – mich mit Freude wieder mehr und öfter hier auslassen.
(Via)
Nachtrag: Ohne, daß ich da irgendwo irgendwas zu gelesen hätte, fiel mir die Tage eher versehentlich auf, daß nicht nur das mit dem unverschlüsselten Redirect wie durch Geisterhand plötzlich verschwunden ist – gesichert angemeldet, gesichert verbunden – sondern plötzlich auch das Zertifikat zu stimmen scheint. Wäre auch seltsam gewesen, wenn ausgerechnet ein Medium, über das immer noch regelmäßig Firmen in ihrer Unfähigkeit stolpern ohne daraus zu lernen, plötzlich dasselbe getan hätte. Recht so.