Firesheep — перехоплюємо авторизацію працюючих в одній Wi-Fi мережі
Рейтинг статті: / 15
НайгіршеНайкраще 

Вхід на веб-сайт зазвичай починається із введення імені користувача та пароля. Потім сервер перевіряє, чи існує введений обліковий запис і, якщо так, то відправляє назад до Вас "cookie", які використовуються браузером для подальших запитів.

Є дуже поширеним для веб-сайтів захист пароля шляхом шифрування початкового логіну, але на диво незвичайним для веб-сайтів є шифрування всього іншого. Це залишає кукі (і користувача) уразливими. HTTP сесії викрадення (так званий "sidejacking"), коли зловмисник отримує передані кукі користувача, дозволяють йому зробити що-небудь від імені користувача на певному веб-сайті. На відкритій бездротової мережі, "cookie" “літають” в повітрі, що робить ці напади дуже легкими.
Це широко відома проблема, яка заговорена до смерті, але дуже популярні сайти, як і раніше, не на захисті своїх користувачів.
Сьогодні в Toorcon 122 оголосив про випуск Firesheep - розширення для Firefox, покликаного продемонструвати, наскільки серйозна ця проблема.
Після встановлення розширення, Ви побачите нову бічну панель. Підключіться до будь-якої відкритої мережі WiFi і натисніть велику кнопку "Start Capturing (Почати захват)". Потім зачекайте.
Як тільки хто-небудь в мережі відвідує незашифрований веб-сайт, відомий Firesheep, то будуть показані їх імена та фотографії:
Двічі клацніть на будь-кого і Ви миттєво увійдете на сайт під його логіном.
Ось і все.
Firesheep безкоштовний, з відкритим вихідним кодом, і тепер доступний для Mac OS X і Windows. Підтримка Linux буде незабаром.
Єдиним ефективним вирішенням цієї проблеми є повне з кінця в кінець шифрування, відоме в Інтернеті як HTTPS або SSL
Захиститися можна установкою SSH SOCKS proxy або насильно перемикати сервіси на використання протоколу HTTPS, якщо вони його підтримують (плагін для Firefox), що дещо уповільнює Ваш браузер при відвідуванні улюблених сайтів.
Веб-сайти несуть відповідальність за захист людей, які залежать від їх послуг. Вони ігнорують цю відповідальність занадто довго і тепер настав час для всіх, щоб вимагати більш безпечного Інтернету. Я сподіваюся, що Firesheep допоможе користувачам перемогти.
(Джерело EN: codebutler.com)
 
>
КнигаНовиниПрактика пошукуПартнериПро нас
Підтримка та дизайн: Могильний С.С. Шаблон: Joomla Templates by BuyHTTP Joomla Hosting