Новый плагин для Firefox показывает, как просто взломать логины в социальных сетях

отметили
72
человека
в архиве
Новый плагин для Firefox показывает, как просто взломать логины в социальных сетях
На конференции ToorCon 12, посвященной вопросам безопасности и взлома данных, независимый веб-разработчик Эрик Батлер (Eric Butler) представил плагин для Firefox, с помощью которого каждый может почувствовать себя настоящим хакером. При работе в открытой беспроводной сети дополнение Firesheep выводит список всех пользователей, которые, будучи подключенными к этой же сети, заходят на популярные социальные сайты (Facebook, Twitter, Flickr и пр.). Firesheep перехватывает не только их имена, но и пароли, благодаря чему пользователь плагина может легко зайти на любой из вышеперечисленных сайтов под учетной записью другого человека.

Firesheep использует уязвимость в системе безопасности популярных социальных сайтов (Facebook, Twitter, Flickr и пр.), которая известна как sidejacking. Ее суть сводится к следующему: при вводе данных учетной записи сервер проверяет их и отсылает пользователю файл cookie, который используется браузером для дальнейшей работы с сайтом. Сайты, как правило, шифруют информацию при вводе данных, однако файлы cookie остаются незащищенными. При работе в открытой беспроводной сети перехват этих данных становится очень простым делом. Именно это и хотел показать Эрик Батлер, создав Firesheep. По словам автора, его главной целью было привлечение внимания к проблеме безопасности, которая касается миллионов человек.

Всего лишь за сутки после появления плагина его скачало 129 тысяч человек, а "Firesheep" вошел в десятку самых популярных запросов на американской версии Google.
Добавил comander comander 27 Октября 2010
проблема (1)
Комментарии участников:
rocknroll
+4
rocknroll, 27 Октября 2010 , url
опять хомячков обижают! несправедливо!:)
precedent
+5
precedent, 27 Октября 2010 , url
Среди нас есть хорьки!))
rocknroll
0
rocknroll, 27 Октября 2010 , url
какой ужас!))
precedent
+1
precedent, 27 Октября 2010 , url
имя нам- легион!!!
rocknroll
+2
rocknroll, 27 Октября 2010 , url
и ноигел!))
precedent
+4
precedent, 27 Октября 2010 , url
((! ноигел и еН
rocknroll
+2
rocknroll, 27 Октября 2010 , url
((! аводупотс
precedent
+5
precedent, 27 Октября 2010 , url
Ты когда мне пишешь, экран потом переворачивай. ладно?
Заглянул за крышку, но там не видно.
Все, сейчас поставлю плагин и захакаю, иначе вообще ничего не понятно, что пишешь
rocknroll
+3
rocknroll, 27 Октября 2010 , url
я просто думал у тебя экран на шее висит и ты в зеркало смотришь:)))))))
precedent
+5
precedent, 27 Октября 2010 , url
Да. но у меня в зеркале твое зеркало отражается. получается ерунда какая- то
rocknroll
+3
rocknroll, 27 Октября 2010 , url
тогда все-таки на бумажке надо переписывать дополнительно:))))
Gone
+4
Gone, 27 Октября 2010 , url
Хорьки — это которые кур режут без разбору? :)
Gone
+3
Gone, 27 Октября 2010 , url
Блин..
Я чё-та так. мимо ушей.
Хорьки те еще зверюшки. Кровожадные твари без тормозов..
Типа комплимент, наверное? :)
Злой Че
+3
Злой Че, 27 Октября 2010 , url
ужас. испугался, скачал и поставил IE 9
precedent
+1
precedent, 27 Октября 2010 , url
)))
rocknroll
+1
rocknroll, 27 Октября 2010 , url
под какую ось?:)
Злой Че
+4
Злой Че, 27 Октября 2010 , url
сами знаете. не провоцируйте :)
rocknroll
0
rocknroll, 27 Октября 2010 , url
под то, что я знаю, ставить рутинно, я думал здесь сенсация:)
zelenin
0
zelenin, 27 Октября 2010 , url
под Вин и Мак
home
+2
home , 27 Октября 2010 , url
Сайты, как правило, шифруют информацию при вводе данных, однако файлы cookie остаются незащищенными. При работе в открытой беспроводной сети перехват этих данных становится очень простым делом.

весьма сомнительно...
перехват сессии да, но паролей едва ли
а если в сессию зашифрован ip то и перехват оной бесполезен
d41d8cd98f00b2
+1
d41d8cd98f00b2, 27 Октября 2010 , url
а если в сессию зашифрован ip то и перехват оной бесполезен
Часто злоумышленник в одной сети с жертвой, а сеть за NAT. И к сожалению ip/useragent не вставляют в сессию обычно — всем лень)
comander
0
comander, 27 Октября 2010 , url
я так понял речь о перехвате именно кукей и их использования для работы одновременно с живым пользователем. то есть не кража пароля но шпиёнство
fStrange
+1
fStrange, 27 Октября 2010 , url
При работе в открытой беспроводной сети
буржуинские проблемы, что то я пока не видел в Ростове "открытых беспроводных"
v_m_smith
0
v_m_smith, 27 Октября 2010 , url
любой отель, любое современное заведение общепита. Видимо не в Ростове
d41d8cd98f00b2
+4
d41d8cd98f00b2, 27 Октября 2010 , url
А тем временем подписанный geotrust сертификат SSL стоит $9.95… Суть новости делает меня плакать.
eill.livejournal.com
-1
eill.livejournal.com, 27 Октября 2010 , url
правда, какое отношение это имеет к firefox — непонятно. Все равно, что критиковать BMW за то, что у нас в России дороги плохие.
comander
0
comander, 27 Октября 2010 , url
разве кто-то критикует браузер?
X86
0
X86, 27 Октября 2010 , url
Firesheep использует уязвимость в системе безопасности популярных социальных сайтов (Facebook, Twitter, Flickr и пр.), которая известна как sidejacking. Ее суть сводится к следующему: при вводе данных учетной записи сервер проверяет их и отсылает пользователю файл cookie, который используется браузером для дальнейшей работы с сайтом. Сайты, как правило, шифруют информацию при вводе данных, однако файлы cookie остаются незащищенными.

Это не уязвимость сайтов, это уязвимость самой системы cookie. Их уже давно можно и нужно шифровать, но никто это не делает и стандартов таких нет.
latpost
0
latpost, 27 Октября 2010 , url
Пусть крадут, в соц.сетях не жалко
KPOT
0
KPOT, 27 Октября 2010 , url
если честно то мне слабо вериться что в куках пароли целиком передаются =)


Войдите или станьте участником, чтобы комментировать