Microsoft reaguje na narzędzie do kradzieży ciasteczek
Transkrypt
Microsoft reaguje na narzędzie do kradzieży ciasteczek
Microsoft reaguje na narzędzie do kradzieży ciasteczek Firesheep poniedziałek, 08 listopada 2010 21:41 Twórcy plug-inu Firesheep wciąż są ostro krytykowani za opublikowanie wtyczki do wykradania plików cookie. Jednocześnie w ten sposób doprowadzili do tego, że Microsoft zamierza w całości przestawić usługę Hotmail i Windows Live na protokół SSL. Informuje o tym amerykański serwis informacyjny Digital Society. Przejście na SSL ma się odbyć jeszcze w listopadzie. Do tej pory standardowo szyfrowane w przeglądarce było jedynie przesyłanie danych logowania, a następująca po niej transmisja danych dla stron i plików cookie sesji logowania odbywała się w czystym tekście. Wtyczka Firesheep jest w stanie zbierać te dane np. w publicznych sieciach WLAN i wykorzystywać je do uzyskania dostępu do cudzych kont. Narzędzie jest tak proste w obsłudze, że nawet script kiddies w kafejkach obok mogą go używać do głupich dowcipów. Narzędzia typu FireShepard próbują zakłócać zbieranie danych przez Firesheep, zalewając sieć WLAN danymi i doprowadzając w ten sposób plug-in do awarii, ale taki kontratak nie rozwiązuje zasadniczego problemu. Wtyczki takie jak HTTPS Everywhere dla Firefoksa mogą zapewnić automatyczne przekierowanie na strony zabezpieczone protokołem SSL ? ale tylko wtedy, gdy serwer również obsługuje takie szyfrowanie. Facebook ogłosił, że w ciągu kilku miesięcy znajdzie rozwiązanie dla braku pełnego szyfrowania na swoich stronach. Do tego czasu serwis zaleca użytkownikom ostrożność przy wysyłaniu i odbieraniu danych w publicznych sieciach WLAN. Taki problem może dotyczyć jeszcze wielu innych usług i stron, w tym między innymi Twittera, Flickra i Amazona. Anegdotą na temat praktycznych testów wtyczki Firesheep podzielił się w blogu programista Gary LosHuertos. Po zebraniu danych pozwalających na logowanie w Facebooku i w innych kontach w kawiarni Starbucks usiłował zwrócić uwagę swoim ofiarom na ten problem. W tym celu wysłał im z ich własnych kont ostrzeżenia przed tym, że mogą mieć do nich dostęp niepowołane osoby. Niektórzy internauci zareagowali, szybko się wylogowując, ale jakiś czas potem znowu byli zalogowani i nie reagowali już na kolejne ostrzeżenia. Z tego krótkiego testu LosHuertos wyciąga następujące wnioski: zasadnicza luka w zabezpieczeniach zawsze polega na (błędnej) ocenie zagrożenia ze strony użytkownika. 1/2 Microsoft reaguje na narzędzie do kradzieży ciasteczek Firesheep poniedziałek, 08 listopada 2010 21:41 źródło: heise-online.pl 2/2