6
Когато влизате в уебсайт, обикновено стартирате, като изпратите потребителско име и парола.След това сървърът проверява дали съществува акаунт, отговарящ на тази информация, и ако е така, ви отговаря с „бисквитка“, която се използва от вашия браузър за всички следващи заявки.Изключително обичайно е уебсайтовете да защитават паролата ви чрез криптиране на първоначалното вход, но изненадващо рядко уебсайтовете да криптират всичко останало.Това оставя бисквитката (и потребителя) уязвима.Отвличането на HTTP сесия (понякога наричано „sidejacking“) е, когато нападателят получи хващане на бисквитка на потребителя, което им позволява да правят всичко, което потребителят може да направи на определен уебсайт.В отворена безжична мрежа бисквитките обикновено се извикват във въздуха, което прави тези атаки изключително лесни .... Това е широко известен проблем, за който се говори до смърт, но много популярните уебсайтове продължават да се провалят при защитата на своите потребители.Единственото ефективно отстраняване на този проблем е пълното криптиране от край до край, известно в мрежата като HTTPS или SSL.Facebook непрекъснато въвежда нови функции за "поверителност" в безкраен опит да потуши писъците на нещастни потребители, но какъв е смисълът, когато някой може просто да поеме акаунт изцяло?Twitter принуди всички разработчици на трети страни да използват OAuth, след което веднага пуснаха (и популяризираха) нова версия на техния несигурен уебсайт.Що се отнася до поверителността на потребителите, SSL е слонът в стаята.Днес в Toorcon 12 обявих излизането на Firesheep, разширение на Firefox, предназначено да демонстрира колко сериозен е този проблем.След като инсталирате разширението, ще видите нова странична лента.Свържете се с всяка заета отворена wifi мрежа и щракнете върху големия бутон „Старт заснемане“.След това изчакайте.
firesheep
WebSite:
http://codebutler.com/firesheepХарактеристика
Категории
Алтернативи на Firesheep за Windows
5
Cookie Cadger
Cadger за бисквитки помага да се идентифицира изтичането на информация от приложения, които използват несигурни HTTP GET заявки.