Firesheep – лёгкий взлом Twitter, Facebook и др. соц сервисов
Несколько дней назад Эрик Батлер (фрилансер из Сиэтла), с помощью простого плагина для Firefox ещё раз показал – насколько могут быть уязвимы конфиденциальные данные в Интернете. Написанный им плагин позволяет перехватывать в открытых сетях WiFi (например, на вокзалах, в кафе и др.) куки других интернет пользователей, и соответственно – получать доступ к чужим учётным записям.
Немного вводной теории.
На многих сервисах шифрование соединения происходит только в момент сверки логина и пароля, а последующий сеанс сайта с пользователем – проходит уже в открытом виде. Для этого применяется идентификатор сеанса (session ID), т.е. – пользователю передаётся в cookies случайно сгенерированный код, по которому происходит определение “свой-чужой”. Вот эти самые кукисы и являются мишенью для плагина “Firesheep”. Перехватив http сессию (SideJacking) и завладев идентификатором сеанса, злоумышленник может заходить в чужие аккаунты, маскируясь под другого пользователя.
Плагин Firesheep может перехватывать кукисы с сайтов: Twitter, Facebook, Google, Flickr, Windows Live, bit.ly, Amazon.com, Enom, Slicehost, tumblr, WordPress, Evernote, CNET, Pivotal Tracker, Basecamp, HackerNews, Yahoo, Cisco, Yelp, Github, NY Times, Cisco, Dropbox и мн. др.
После того информация о Firesheep появилась в Сети, всего за час плагин был скачан более 1000 раз (!), а доказательства в эффективности использования тут же стали появляться на Facebook и Twitter.
По словам Батлера, он создал этот, казалось бы, дьявольский инструмент только для того, что бы показать – мы тратим много времени на споры по поводу всяких мелочей в политике конфиденциальности, но упускаем из вида огромные зияющие дыры в безопасности. Сайты несут ответственность за защиту людей, которые зависят от их услуг. Слишком долго игнорировалась эта ответственность, и теперь настало время для всех, чтобы обратить на это внимание и начать требовать более безопасного Интернета. А плагин Firesheep должен в этом помочь.
Как пользоваться Firesheep
После установки расширения, появится новая боковая панель. Подключайтесь к любой открытой сети WiFi и нажмите кнопку “Start Capturing” (начать захват). Как только Firesheep перехватит чьи-нибудь данные, их логины и фото будут показаны.
Для входа под чужим логином – сделайте двойной клик по одной из аватарок. Как видите – всё просто.
Для того, чтобы скачать Firesheep – я предлагаю зайти на блог Эрика Батлера. Плагин является свободно распространяемым, с открытым исходным кодом. Доступен для пользователей Windows и Mac OS X, а вскоре обещается поддержка и Linux.
Интересные факты о Франции: достопримечательности Парижа, французская кухня, замки Франции, туристические туры по Франции.
Лингвистический центр “ЭЛИТ А+А” предлагает курсы английского в Киеве: английский для детей, разговорный английский, элитарный английский.
26 октября, 2010 в 11:36
круто работает!!!!!
28 октября, 2010 в 16:28
ФФ 3.6.12 + WinXP SP3, WinPcap установлен. Firesheep на нажатие кнопки никак не реагирует, при попытке залезть в Preferences говорит, что Cc is not defined. Помогите, если умеете.
29 октября, 2010 в 22:33
Даже не знаю, установка Winpcap должна была решить эту проблему.
9 ноября, 2010 в 21:24
тоже самое при попытке залезть в Preferences говорит, что Cc is not defined
30 января, 2011 в 16:35
Может это ошибка от того что мы сейчас не в сети Wifi??
21 сентября, 2011 в 23:32
Установите более позднюю лисичку, установите WinPcap ! А лучше пользуйтесь LINUX и изучайте cmd !!!