Dass man sein WLAN absichern sollte, gut absichern, dürfte ja inzwischen allgemein bekannt sein. Es geht aber dabei nicht nur um die bekannten Probleme, dass da jemand unerkannt mitsurfen kann. Eric Butler hat jetzt auf einer Konferenz in San Diego auf eine weitere gravierende Sicherheitslücke hingewiesen: Wenn sich jemand bei einer Webseite anmeldet, dann werden zwar der Benutzername und das Passwort verschlüsselt übertragen. Aber die Seite schickt auch ein Cookie zurück. Und dieses Cookie ist jedoch unverschlüsselt. Nun braucht also jemand nur dieses Cookie abzufangen und er kommt ganz locker in diesen Zugang sein; sei es nun bei Facebook, Google oder wo auch immer. Um das zu demonstrieren hat er eine Firefox-Erweiterung namens „Firesheep“ geschrieben und veröffentlicht, mit der man derartige Cookies abfangen kann. Er will damit erreichen, dass diese Lücke endlich beseitigt wird.
[Quelle]
- Kommentar
- Rebloggen
-
Abonnieren
Abonniert
Du hast bereits ein WordPress.com-Konto? Melde dich jetzt an.
Lothars Blog 
28 Oktober 2010 um 10:01 am |
Überall klappt das nun auch wieder nicht. Zum Einen muss die Option „Angemeldet bleiben“ oder „Automatisch neu anmelden“ aktiviert sein (meist ein Häkchen bei der Anmeldung) und zum anderen darf natürlich keine IP-Prüfung von der Seite ausgehen.
Wie das beim Gesichtsbuch oder Google ist kann ich aufgrund fehlender Accounts allerdings nicht sagen 😉
BTW, das gleiche geht übrigens auch mit einer abgefangenen oder übertragenen Session-ID, die in der URL mitübertragen wird – jedenfalls solange sie nicht abgelaufen ist. Wie beim Cookie ja auch.
Nach einem Logout gehts auch mit dem Cookie nicht….. 😉