Gravierende Sicherheitslücke

Dass man sein WLAN absichern sollte, gut absichern, dürfte ja inzwischen allgemein bekannt sein. Es geht aber dabei nicht nur um die bekannten Probleme, dass da jemand unerkannt mitsurfen kann. Eric Butler hat jetzt auf einer Konferenz in San Diego auf eine weitere gravierende Sicherheitslücke hingewiesen: Wenn sich jemand bei einer Webseite anmeldet, dann werden zwar der Benutzername und das Passwort verschlüsselt übertragen. Aber die Seite schickt auch ein Cookie zurück. Und dieses Cookie ist jedoch unverschlüsselt. Nun braucht also jemand nur dieses Cookie abzufangen und er kommt ganz locker in diesen Zugang sein; sei es nun bei Facebook, Google oder wo auch immer. Um das zu demonstrieren hat er eine Firefox-Erweiterung namens „Firesheep“ geschrieben und veröffentlicht, mit der man derartige Cookies abfangen kann. Er will damit erreichen, dass diese Lücke endlich beseitigt wird.
[Quelle]

Advertisements

Eine Antwort to “Gravierende Sicherheitslücke”

  1. Jürgen Says:

    Überall klappt das nun auch wieder nicht. Zum Einen muss die Option „Angemeldet bleiben“ oder „Automatisch neu anmelden“ aktiviert sein (meist ein Häkchen bei der Anmeldung) und zum anderen darf natürlich keine IP-Prüfung von der Seite ausgehen.
    Wie das beim Gesichtsbuch oder Google ist kann ich aufgrund fehlender Accounts allerdings nicht sagen 😉

    BTW, das gleiche geht übrigens auch mit einer abgefangenen oder übertragenen Session-ID, die in der URL mitübertragen wird – jedenfalls solange sie nicht abgelaufen ist. Wie beim Cookie ja auch.

    Nach einem Logout gehts auch mit dem Cookie nicht….. 😉

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s


%d Bloggern gefällt das: