Van ez a Firesheep nevű Firefox kiterjesztés, amivel állítólag nem titkosított wifi hálózatot figyelve, gombnyomással meg lehet szerezni többek között mások Facebook, vagy Twitter jelszavát.
De én ezt nem értem. A Facebook, és a Twitter is titkosított csatornát használ bejelentkezéskor, ami azt jelenti, hogy a böngésző helyben titkosítja az adatokat, és a hálózaton csak a titkosított adatfolyam utazik. Ha azt megszerzi valaki, akkor semmire nem megy vele.
Tehát nem értem, hogy Https protokoll használatakor miért számít az, hogy maga a hálózat titkosított-e, vagy sem?
- 6919 megtekintés
Hozzászólások
maga a login sztem egyiknél sem https.. max ha te kifejezetten arra allitod be.
az util egyebkent csak "promiscuous mode"-ra kepes wifi kartyakkal, chipsettel mukodik
- A hozzászóláshoz be kell jelentkezni
Tuti biztos, hogy titkosított. Megnéztem a forrást, és beállítottam, hogy a Firefox jelezzen nem titkosított kapcsolat esetén, de nem jelzett.
Ezért nem értem, hogyha titkosított a bejelentkezés, akkor hogyan tudják ellopni a jelszót a publikus wifi hálózatról?
- A hozzászóláshoz be kell jelentkezni
Session lopás?
- A hozzászóláshoz be kell jelentkezni
"Many web sites use SSL encryption for login pages to prevent attackers from seeing the password, but do not use encryption for the rest of the site once authenticated."
Jaaaa...
Hát akkor a Facebook a szar, nem a publikus wifiket kéne szidni. De ha már a login SSL, akkor mibe kerülne a teljes session-t titkosítani? Vagy ahhoz több szerver kéne?
És ezt nem lehet eljátszani a vezetékes kapcsolatokkal?
- A hozzászóláshoz be kell jelentkezni
De ha már a login SSL, akkor mibe kerülne a teljes session-t titkosítani?
Ha az osszes keres SSL-en erkezik, akkor szerver oldalon nyilvan tobb eroforrast vesz fel a dekodolas.
----------------------
"ONE OF THESE DAYS I'M GOING TO CUT YOU INTO LITTLE PIECES!!!$E$%#$#%^*^"
- A hozzászóláshoz be kell jelentkezni
bar meg nem probaltam, de tudtommal nem jelszot lop, hanem session-t.
szerk: megeloztek...
- A hozzászóláshoz be kell jelentkezni
Az oké, ha https://-t használsz, de akkor is titkos a belépés ha a sima http://facebook.com-ot használod?
Software is like sex, it's better with a penguin. :D (r)(tm)(c) آكوش
- A hozzászóláshoz be kell jelentkezni
Akkor is titkos, nézd meg a forrást. De ezek szerint ez nem elég, a teljes session-t kéne titkosítani.
- A hozzászóláshoz be kell jelentkezni
Az oké, ha https://-t használsz, de akkor is titkos a belépés ha a sima http://facebook.com-ot használod?
Software is like sex, it's better with a penguin. :D (r)(tm)(c) آكوش
- A hozzászóláshoz be kell jelentkezni
Amiket a wiki ír, mint megelőző lépések, elég egyszerűnek tűnnek. Egy Facebook-szintű oldal miért nem alkalmazza ezeket az egyszerű védelmeket?
- A hozzászóláshoz be kell jelentkezni
egyreszt lustasag, masreszt ahogy a linken is irjak, nagyobb eroforrasigenye van a teljes forgalmat ssl-en keresztul kiszolgalni, de ha a google meg tudta lepni a gmail kapcsan, akkor ez nem lehet mentseg imho.
pl. ha jol emlekszem, akkor az IE sipakol alapbol azert, ha egy ssl-es oldal nem https-rol tolt be eroforrasokat (kepek, css, etc.), hatosnal modal ablak, hetestol folfele informacios savban.
ergo ha attolod a teljes site-ot https ala, akkor az osszes statikus tartalmat sem art onnan kiszolgalni, viszont akkor pl. koztes proxy szerverek nem fogjak tudni cachelni ezeket az eroforrasokat, de ez nem feltetlenul problema.
Tyrael
- A hozzászóláshoz be kell jelentkezni
A Firefox is figyelmeztet. Valami ilyesmit, hogy habár az oldal titkosított, egyes részei nem azok, folytatom-e.
- A hozzászóláshoz be kell jelentkezni
Ez a Firesheep iszonyú jó ötlet volt. Csomó oldalt rákényszerített, hogy tegyenek a biztonság érdekében.
Írtam az Opera Software webmail szolgáltatásának (Fastmail), hogy ne engedjék már a titkosítatlan bejelentkezést, még inkább ne az legyen az alapértelmezett. Ez volt tegnap, ma reggelre már ki is javították (illetve elkezdték kijavítani). Bár az elmúlt 10 évben jó volt nekik a titkosítatlan kapcsolat.
http://blog.fastmail.fm/2010/11/01/secure-login-is-now-always-the-defau…
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni