6
Ko se prijavite na spletno mesto, običajno začnete s predložitvijo uporabniškega imena in gesla.Nato strežnik preveri, ali obstaja račun, ki ustreza tem podatkom, in če je odgovor pritrdi, vam odgovori "piškotek", ki ga vaš brskalnik uporablja za vse naslednje zahteve.Izredno pogosto je, da spletna mesta zaščitijo geslo s šifriranjem začetne prijave, presenetljivo pa je, da spletna mesta šifrirajo vse ostalo.Zaradi tega piškotek (in uporabnik) ostane ranljiv.Ugrabitev seje HTTP (včasih imenovano "stransko povezovanje") je takrat, ko napadalec dobi uporabniški piškotek, ki jim omogoča, da na določenem spletnem mestu storijo vse, kar lahko uporabnik stori.V odprtem brezžičnem omrežju se piškotki v glavnem šikajo po zraku, zato so ti napadi izjemno enostavni .... To je splošno znana težava, o kateri se govori že do smrti, vendar zelo priljubljena spletna mesta še naprej ne uspevajo zaščititi svojih uporabnikov.Edina učinkovita rešitev te težave je popolno šifriranje od konca do konca, ki je v spletu znano kot HTTPS ali SSL.Facebook nenehno uvaja nove "zasebnosti" funkcije v neskončnem poskusu, da utiša krike nesrečnih uporabnikov, ampak kaj je smisel, ko lahko nekdo le prevzame račun v celoti?Twitter je prisilil vse razvijalce tretjih oseb, da uporabljajo OAuth, nato pa so takoj izdali (in promovirali) novo različico svojega negotovega spletnega mesta.Ko gre za zasebnost uporabnikov, je SSL v slonu v sobi.Danes sem na Toorconu 12 napovedal izdajo Firesheep-a, razširitve Firefoxa, ki je namenjen ponazoritvi, kako resna je ta težava.Po namestitvi razširitve boste videli novo stransko vrstico.Povežite se s katero koli zasedeno odprto omrežje wifi in kliknite velik gumb "Začni zajem".Potem počakajte.
firesheep