6
Wenn Sie sich auf einer Website anmelden, geben Sie in der Regel zunächst Ihren Benutzernamen und Ihr Kennwort ein.Der Server überprüft dann, ob ein mit diesen Informationen übereinstimmendes Konto vorhanden ist, und antwortet Ihnen in diesem Fall mit einem "Cookie", das Ihr Browser für alle nachfolgenden Anfragen verwendet.Websites schützen Ihr Kennwort in der Regel durch Verschlüsselung der ersten Anmeldung. Es ist jedoch überraschend selten, dass Websites alles andere verschlüsseln.Dies macht das Cookie (und den Benutzer) anfällig.HTTP-Session-Hijacking (manchmal auch "Sidejacking" genannt) bedeutet, dass ein Angreifer auf das Cookie eines Benutzers zugreift und ihm ermöglicht, alles zu tun, was der Benutzer auf einer bestimmten Website tun kann.In einem offenen drahtlosen Netzwerk werden Cookies im Grunde genommen durch die Luft geschrien, was diese Angriffe extrem einfach macht.Die einzige wirksame Lösung für dieses Problem ist die vollständige End-to-End-Verschlüsselung, die im Web als HTTPS oder SSL bezeichnet wird.Facebook führt ständig neue "Datenschutz" -Funktionen ein, um die Schreie unglücklicher Nutzer zu unterdrücken. Aber was bringt es, wenn jemand einfach ein Konto vollständig übernehmen kann?Twitter hat alle Entwickler von Drittanbietern gezwungen, OAuth zu verwenden. Anschließend wurde sofort eine neue Version ihrer unsicheren Website veröffentlicht (und beworben).Wenn es um die Privatsphäre der Benutzer geht, ist SSL der Elefant im Raum.Heute bei Toorcon 12 habe ich die Veröffentlichung von Firesheep angekündigt, einer Firefox-Erweiterung, die demonstrieren soll, wie ernst dieses Problem ist.Nach der Installation der Erweiterung wird eine neue Seitenleiste angezeigt.Stellen Sie eine Verbindung zu einem überlasteten offenen WLAN-Netzwerk her und klicken Sie auf die große Schaltfläche "Aufnahme starten".Dann warte.
firesheep