Microsoft reaguje na narzędzie do kradzieży ciasteczek

Microsoft reaguje na narzędzie do kradzieży ciasteczek Firesheep
poniedziałek, 08 listopada 2010 21:41
Twórcy plug-inu Firesheep wciąż są ostro krytykowani za opublikowanie wtyczki do wykradania
plików cookie. Jednocześnie w ten sposób doprowadzili do tego, że Microsoft zamierza w
całości przestawić usługę Hotmail i Windows Live na protokół SSL. Informuje o tym
amerykański serwis informacyjny Digital Society. Przejście na SSL ma się odbyć jeszcze w
listopadzie.
Do tej pory standardowo szyfrowane w przeglądarce było jedynie przesyłanie danych
logowania, a następująca po niej transmisja danych dla stron i plików cookie sesji logowania
odbywała się w czystym tekście. Wtyczka Firesheep jest w stanie zbierać te dane np. w
publicznych sieciach WLAN i wykorzystywać je do uzyskania dostępu do cudzych kont.
Narzędzie jest tak proste w obsłudze, że nawet script kiddies w kafejkach obok mogą go
używać do głupich dowcipów.
Narzędzia typu FireShepard próbują zakłócać zbieranie danych przez Firesheep, zalewając
sieć WLAN danymi i doprowadzając w ten sposób plug-in do awarii, ale taki kontratak nie
rozwiązuje zasadniczego problemu. Wtyczki takie jak HTTPS Everywhere dla Firefoksa mogą
zapewnić automatyczne przekierowanie na strony zabezpieczone protokołem SSL ? ale tylko
wtedy, gdy serwer również obsługuje takie szyfrowanie.
Facebook ogłosił, że w ciągu kilku miesięcy znajdzie rozwiązanie dla braku pełnego
szyfrowania na swoich stronach. Do tego czasu serwis zaleca użytkownikom ostrożność przy
wysyłaniu i odbieraniu danych w publicznych sieciach WLAN. Taki problem może dotyczyć
jeszcze wielu innych usług i stron, w tym między innymi Twittera, Flickra i Amazona.
Anegdotą na temat praktycznych testów wtyczki Firesheep podzielił się w blogu programista
Gary LosHuertos. Po zebraniu danych pozwalających na logowanie w Facebooku i w innych
kontach w kawiarni Starbucks usiłował zwrócić uwagę swoim ofiarom na ten problem. W tym
celu wysłał im z ich własnych kont ostrzeżenia przed tym, że mogą mieć do nich dostęp
niepowołane osoby.
Niektórzy internauci zareagowali, szybko się wylogowując, ale jakiś czas potem znowu byli
zalogowani i nie reagowali już na kolejne ostrzeżenia. Z tego krótkiego testu LosHuertos
wyciąga następujące wnioski: zasadnicza luka w zabezpieczeniach zawsze polega na (błędnej)
ocenie zagrożenia ze strony użytkownika.
1/2
Microsoft reaguje na narzędzie do kradzieży ciasteczek Firesheep
poniedziałek, 08 listopada 2010 21:41
źródło: heise-online.pl
2/2