Přejít na obsah | Přejít na navigaci

Zapamatovat si Obnovit heslo Registrace

Novinky

Nahlásit problém
Newsletter
RSS
Mobilní verze
Chip na facebooku
Úvodní stránka Novinky Bezpečnost 2010 10 Firesheep odhaluje, že na zabezpečení si na webu jen hrajeme

Nabourání do session

Firesheep odhaluje, že na zabezpečení si na webu jen hrajeme

Rozšíření pro Firefox umožňuje i malému dítěti nabourávat se do cizích profilů na Facebooku a na dalších službách.

Na Facebook, k emailu přes webové rozhraní a k dalším službám přistupujeme často přes spojení nezabezpečená (HTTP). Sice se zabezpečeně přihlásíme heslem, ale spojení se pak změní v nezabezpečené. Přístup ke všemu důvěrnému obsahu se potom řídí už jen podle toho, zda se náš prohlížeč může prokázat správnou „sušenkou“ (cookie), která se nastavila, když jsme se přihlásili heslem. (Sušenka se zneplatní zpravidla teprve záměrným odhlášením.)

Narušiteli tedy stačí získat z přenášených dat tuto sušenku, a může se serveru prokazovat za nás. Jste‑li připojeni po síti pevné, má k přenášeným datům běžně přístup jen několik adminů po cestě; můžete doufat v jejich svědomí, anebo v to, že mají dost jiné práce — co je vám milejší… Jenže s rozmachem WiFi, a to jak veřejných v kdejaké kavárně, tak domácích, ale nezabezpečených dostatečně, je z toho opravdový problém.

Odborníci o něm vědí roky a roky jsou dostupny různé hackerské nástroje, a přesto se řada online služeb brání šifrování veškerého provozu. To totiž stojí výpočetní výkon a zatěžovalo by jim servery. Nezávislý vývojář Eric Butler už měl všeho dost — toho, jak se v médiích propírá kdejaká okrajová bezpečnostní dírečka, ale přehlíží se tato zející propast.

Rozhodl se tedy na problém upozornit: napsal nástroj tak snadný — a hezký na pohled — že jeho pomocí se může k cizímu profilu přihlásit i cvičený šimpanz — vážně, stačí jen kliknout myší. Eric doufá, že to konečně podnítí Facebook a další velké služby k tomu, aby pochopily, že jedině spojení cele zabezpečené, od začátku do konce, lze považovat za bezpečné.

Nástroj Firesheep je napsán jako rozšíření pro Firefox a Eric jej spolu s Ianem Gallagherem představil v neděli v San Diegu na dvanáctém ročníku hackerského setkání ToorCon.

Firesheep je dostupný v postranním panelu Firefoxu. Stačí se prostě připojit k nějaké nezabezpečené Wifi a čekat… Jakmile se někdo připojí ke společenské síti, kterou Firesheep zná, objeví se onen pošetilec v panelu pěkně i s profilovým obrázkem. Stačí dvakrát kliknout, a jste na jeho účtu! (Jste v jeho session.)

Zpravodajský web TechChrunch získal vyjádření od Facebook, Inc., ve kterém firma tvrdí, že v poslední době pokročila v testování plně zabezpečeného přístupu, a že doufá, že tuto možnost bude moci nabídnout uživatelům ve výhledu měsíců.

Kromě toho se webu ozval jeho čtenář Steve Manuel, který upozornil na doplněk jménem Force­‑TSL, který umožňuje vynutit si šifrované spojení (HTTPS) k webům, jež si uživatel vybere. Jde to s těmi servery, které povolují HTTPS navázat. Nejde totiž o to, že byste si určitou stránku na Facebooku nemohli otevřít přes HTTPS — můžete; však si to vyzkoušejte a přepište v adresním řádku ‚http‘ na ‚https‘. Potíž je, že to tam nevydrží, jakmile překliknete na stránku jinou. S doplňkem, který si HTTPS vynutí, by vydržet mělo.

Do kavárny pak choďte raději s někým, a notebook nechte doma, nebo alespoň v brašně.

Přidat komentář 2 komentáře
Gość IP: 85.71.28.* 2012.01.27 10:15
jsou to lži a autoři všech podobnych članku to dobře vědi.eric je jen obyčejnej hacker podvodnik co si ted masti kapsu ze dvou stran.firesheep N E F U N G U J E a nikdy fungovat nebude.to ze si pres nej zjistite max svoje heslo je vysměch.ono už bylo zezačatku divne že firesheep mel podporu win xp a linuxu ne.. a přitom každej dobře vi že eric je linuxař a lidi s xp jsou pro nej podřadnej plebs sloužici jen k naplněni jeho kapes
Gość IP: 15.195.201.* 2012.01.31 16:35
Ty si asi člověk který tomu hrozně rozumí, že ano :)

Nikde se nepíše, že toto ROZŠÍŘENÍ/DOPLNĚK* pro firefox odhaluje nebo získává heslo! Píše se tu o takzvaném souboru "cookie" který ale, když se používá pro identifikaci probíhající "session" a někdo se k němu dostane, umožňuje používat tvůj účet jako když se přihlásíš a odejdeš od PC na záchod. Takže třeba napsat na tvou zeď "JSEM CHITRÍ!!!!"

Doufám, že jsem to popsal dost jednoduše, když ti ale nepomohl ani článek a neumíš číst, tak to není jisté.

*-rozšíření může běžet kdekoliv, kde běží samotný program a pokud já vím, firefox běží na WIN/Linux/Mac. Pouze na win budeš potřebovat doinstalovat další utilitku (winpcap, tím už tě ale zatěžovat nebudu)
Autoři: marek janouš
Přidáno: 26.10.2010
Zdroj: Facebook, Inc.
Počet zobrazení: 2816
Ovládejte mediacentrum XBMC smartphonem XBMC je bohatě vybavené a zdarma použitelné mediacentrum. Ukážeme vám, jak jej můžete snadno ovládat prostřednictvím aplikace pro váš smartphone s Androidem.
Šifrování e-mailů v Thunderbirdu Jak se v poslední době ukazuje, listovní tajemství není pro každého svaté. Pokud nestojíte o to, aby si někdo cizí pročítal vaše e-maily, použijte náš jednoduchý tip pro poštovního klienta Thunderbird.
Vzdělávejte se na webu Školicí internetové stránky i celé portály nabízejí vzdělávací kurzy z mnoha různých oblastí: od jazyků a počítačových dovedností až po matematiku.