Senin, 23 Mei 2011

Firesheep

Ketika login ke situs Web Anda biasanya mulai dengan mengajukan username dan password. Server kemudian akan memeriksa untuk melihat apakah account yang sesuai informasi ini ada dan jika demikian, jawaban kembali kepada Anda dengan sebuah "cookie" yang digunakan oleh browser Anda untuk semua permintaan berikutnya.

Ini sangat umum untuk situs web untuk melindungi password anda dengan enkripsi login awal, tapi mengejutkan jarang website untuk mengenkripsi segala sesuatu yang lain. Ini meninggalkan cookie (dan pengguna) rentan. HTTP sesi pembajakan (kadang-kadang disebut "sidejacking") adalah ketika penyerang mendapatkan memegang cookie pengguna, yang memungkinkan mereka untuk melakukan apa pun pengguna bisa lakukan di situs web tertentu. Pada jaringan nirkabel terbuka, cookie pada dasarnya berteriak melalui udara, membuat serangan-serangan ini sangat mudah.

Ini adalah masalah yang dikenal secara luas yang telah berbicara tentang mati, namun website sangat populer terus gagal dalam melindungi pengguna mereka. Perbaikan hanya efektif untuk masalah ini adalah penuh enkripsi end-to-end, yang dikenal pada web HTTPS atau SSL. Agar selalu meluncurkan baru "privasi" fitur dalam upaya tanpa henti untuk memadamkan teriakan pengguna tidak bahagia, tapi apa gunanya jika seseorang hanya dapat mengambil alih account yang sama sekali? Twitter memaksa semua pengembang pihak ketiga untuk menggunakan OAuth kemudian segera dirilis (dan dipromosikan) versi baru dari situs web aman mereka. Ketika datang ke privasi pengguna, SSL gajah di dalam ruangan.

Hari ini at Toorcon 12 saya mengumumkan perilisan Firesheep, sebuah ekstensi Firefox yang dirancang untuk menunjukkan betapa serius masalah ini.

Setelah menginstal ekstensi, Anda akan melihat sidebar baru. Terhubung ke jaringan wifi sibuk membuka dan klik besar "Start Menangkap" tombol. Kemudian tunggu.
Begitu siapapun di jaringan kunjungan sebuah situs aman dikenal Firesheep, nama dan foto yang akan ditampilkan:
Double-klik pada seseorang, dan Anda langsung login sebagai mereka.
Itu saja.
Firesheep
gratis, open source, dan tersedia sekarang untuk Mac OS X dan Windows. Dukungan Linux dalam perjalanan.

Website memiliki tanggung jawab untuk melindungi orang-orang yang tergantung pada layanan mereka. Mereka telah mengabaikan tanggung jawab ini terlalu lama, dan sudah waktunya bagi setiap orang untuk menuntut web yang lebih aman. Harapan saya adalah bahwa Firesheep akan membantu pengguna menang.

Tidak ada komentar:

Posting Komentar