[Закрыто] Статья по Firesheep: до $100
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
[Закрыто] Статья по Firesheep: до $100 - 2010-11-18 11:24:20.850000
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
Технологическое описание
С обязательным примером реальной работы
|
|
|
|
|
RE: Статья по Firesheep: до $100 - 2010-11-22 20:56:36.153333
|
|
|
disCoverall
Сообщений: 32
Оценки: 0
Присоединился: 2010-10-31 00:43:50.613333
|
When logging into a website you usually start by submitting your username and password. The server then checks to see if an account matching this information exists and if so, replies back to you with a "cookie" which is used by your browser for all subsequent requests.
It's extremely common for websites to protect your password by encrypting the initial login, but surprisingly uncommon for websites to encrypt everything else. This leaves the cookie (and the user) vulnerable. HTTP session hijacking (sometimes called "sidejacking") is when an attacker gets a hold of a user's cookie, allowing them to do anything the user can do on a particular website. On an open wireless network, cookies are basically shouted through the air, making these attacks extremely easy.
This is a widely known problem that has been talked about to death, yet very popular websites continue to fail at protecting their users. The only effective fix for this problem is full end-to-end encryption, known on the web as HTTPS or SSL. Facebook is constantly rolling out new "privacy" features in an endless attempt to quell the screams of unhappy users, but what's the point when someone can just take over an account entirely? Twitter forced all third party developers to use OAuth then immediately released (and promoted) a new version of their insecure website. When it comes to user privacy, SSL is the elephant in the room.
Today at Toorcon 12 I announced the release of Firesheep, a Firefox extension designed to demonstrate just how serious this problem is.
After installing the extension you'll see a new sidebar. Connect to any busy open wifi network and click the big "Start Capturing" button. Then wait.'
Firesheep is free, open source, and is available now for Mac OS X and Windows. Linux support is on the way.
Websites have a responsibility to protect the people who depend on their services. They've been ignoring this responsibility for too long, and it's time for everyone to demand a more secure web. My hope is that Firesheep will help the users win.
По русски :
Немного вводной теории.
На многих сервисах шифрование соединения происходит только в момент сверки логина и пароля, а последующий сеанс сайта с пользователем – проходит уже в открытом виде. Для этого применяется идентификатор сеанса (session ID), т.е. – пользователю передаётся в cookies случайно сгенерированный код, по которому происходит определение “свой-чужой”. Вот эти самые кукисы и являются мишенью для плагина “Firesheep”. Перехватив http сессию (SideJacking) и завладев идентификатором сеанса, злоумышленник может заходить в чужие аккаунты, маскируясь под другого пользователя.
Плагин Firesheep может перехватывать кукисы с сайтов: Twitter, Facebook, Google, Flickr, Windows Live, bit.ly, Amazon.com, Enom, Slicehost, tumblr, WordPress, Evernote, CNET, Pivotal Tracker, Basecamp, HackerNews, Yahoo, Cisco, Yelp, Github, NY Times, Cisco, Dropbox и мн. др.
После того информация о Firesheep появилась в Сети, всего за час плагин был скачан более 1000 раз (!), а доказательства в эффективности использования тут же стали появляться на Facebook и Twitter.
По словам Батлера, он создал этот, казалось бы, дьявольский инструмент только для того, что бы показать – мы тратим много времени на споры по поводу всяких мелочей в политике конфиденциальности, но упускаем из вида огромные зияющие дыры в безопасности. Сайты несут ответственность за защиту людей, которые зависят от их услуг. Слишком долго игнорировалась эта ответственность, и теперь настало время для всех, чтобы обратить на это внимание и начать требовать более безопасного Интернета. А плагин Firesheep должен в этом помочь.
Как пользоваться Firesheep
После установки расширения, появится новая боковая панель. Подключайтесь к любой открытой сети WiFi и нажмите кнопку “Start Capturing” (начать захват). Как только Firesheep перехватит чьи-нибудь данные, их логины и фото будут показаны.
Для входа под чужим логином – сделайте двойной клик по одной из аватарок. Как видите – всё просто.
Для того, чтобы скачать Firesheep – я предлагаю зайти на блог Эрика Батлера. Плагин является свободно распространяемым, с открытым исходным кодом. Доступен для пользователей Windows и Mac OS X, а вскоре обещается поддержка и Linux.
|
|
|
|
|
RE: Статья по Firesheep: до $100 - 2010-11-22 21:00:20.406666
|
|
|
disCoverall
Сообщений: 32
Оценки: 0
Присоединился: 2010-10-31 00:43:50.613333
|
В архиве выкладываю исходный код версии для Linux-x86. Для пользователей Windows и MacOS уже есть рабочий вариант дополнения здесь (пользователи windows сразу должны установить WinPcap).
Для компиляции необходимо наличие установленных библиотек xulrunner.
sudo apt-get install xulrunner-dev
Компиляция:
//ваша версия xulrunner может отличаться, следует поправить под свою версию путь
./autogen.sh –with-xulrunner-sdk=/usr/lib/xulrunner-devel-1.9.2.12 && CPATH=/usr/include/nspr make
После сборки проекта, аддон для Firefox будет находиться в директории build под названием firesheep.xpi, для его установки достаточно «закинуть» файл в окно Firefox, потом перезапустить последний.
Перед первым запуском firesheep, следует дать определенные права файлу.
На этом приложения готово к использованию. В настройках следует выбрать интерфейс который будем «слушать».
Firesheep Linux-x86 (source code) Скачать
Firesheep готовый аддон для Linux-x86 Скачать
|
|
|
|
|
RE: Статья по Firesheep: до $100 - 2010-11-23 10:22:37.293333
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
Вы русский язык понимаете? :)
Термин "с обязательным примером реальной работы" для вас пустое слово?
|
|
|
|
|
RE: Статья по Firesheep: до $100 - 2010-11-23 11:39:57.666666
|
|
|
disCoverall
Сообщений: 32
Оценки: 0
Присоединился: 2010-10-31 00:43:50.613333
|
Вообще на картинке показано, а работу не буду показывать, и вы понимаете почему, больше заработал на этом, чем вы предлагаете)
|
|
|
|
|
RE: Статья по Firesheep: до $100 - 2010-11-23 13:30:54.716666
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
Нет, не понимаю
Заработали так заработали, не вижу никакого опасения показать это, тем более в работе плагина никакой тайны нет
|
|
|
|
|
RE: Статья по Firesheep: до $100 - 2011-03-28 00:57:18.886666
|
|
|
Agent Smith
Сообщений: 976
Оценки: 0
Присоединился: 2007-04-10 21:56:49.593333
|
Вы бы могли уточнить, какое именно значение слова Firesheep вы имели в виду?
|
|
|
|
|
RE: Статья по Firesheep: до $100 - 2011-03-28 08:59:02.493333
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
Нет
|
|
|
|
|
RE: Статья по Firesheep: до $100 - 2011-04-19 14:27:38.743333
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
Уже не актуально
|
|
|
|
|
|
