publikuj: Opublikuj w wykop.pl Opublikuj we flaker.pl Opublikuj na OSnews.pl Opublikuj w delicious wydrukuj
skomentuj »

TAGI: bezpieczeństwo , cookie , gmail , sidejacking , ssl , vpn , web 2.0

2008-02-01 12:45  |  Adam Golański

Sidejacking: nawet z SSL-em ciasteczka Gmaila nie są bezpieczne

Sidejacking: nawet z SSL-em ciasteczka Gmaila nie są bezpieczne

Kiedy w zeszłym roku zademonstrowano atak na Gmaila, uważano, że przynajmniej tryb SSL tej aplikacji pocztowej jest wolny od zagrożenia przechwycenia sesji. Jednak według Roberta Grahama, autora bloga erratasec, nawet przy włączonym SSL-em sesje Gmaila można przejąć za pomocą jego narzędzi hakerskich Hamster i Ferret.

Sidejacking to termin użyty przez Grahama na określenie zastosowanej przez niego techniki, pozwalającej przechwycić niemal wszystkie aplikacje Web 2.0, które zapisują dane logowania w ciasteczkach, by użytkownicy nie musieli za każdym razem ponownie wpisywać haseł. Nasłuchując fal radiowych bezprzewodowej komunikacji, atakujący może zbierać ciasteczka od wielu użytkowników i korzystać z ich AJAX-owych aplikacji. Choć hasło nie zostaje złamane, to samo posiadanie ciasteczka jest tymczasowym kluczem do takich witryn, jak Gmail, Yahoo! czy Hotmail. Atakujący może nawet ustalić, co użytkownik kupował w sklepach internetowych czy gdzie mieszka.

Gmail w trybie HTTPS miał być bezpieczny, ponieważ wszystko szyfrował. Okazuje się jednak, że kod JavaScript Gmaila powraca do niezaszyfrowanego trybu HTTP, jeśli HTTPS jest niedostępne. A zdarza się to bardzo często, na przykład gdy laptop łączy się z punktem dostępowym. Zanim użytkownik się zaloguje, laptop będzie próbował zalogować się do serwera Gmaila, jeśli aplikacja ta jest otwarta (a często pozostawia się ją otwartą w karcie przeglądarki). Jako że jednak wciąż nie ma połączenia, JavaScript Gmaila spróbuje nawiązać komunikację przez nieszyfrowane połączenie HTTP. I gra skończona – jeśli ktoś nas właśnie nasłuchuje.

Co najgorsze, Gmail Google'a jest jedną z najbezpieczniejszych aplikacji Web 2.0, a wciąż nie zapewnia użytkownikom bezpieczeństwa w trybie SSL. Inne, podobne mu aplikacje, takie jak Hotmail Microsoftu czy Yahoo! Mail, nawet nie mają trybów SSL. Używają co prawda SSL dla uwierzytelniania użytkownika, ale nie ma to żadnego znaczenia – bo zaraz po zalogowaniu przechodzą do trybu nieszyfrowanego.

W chwili obecnej nie istnieje żadna możliwość obrony przed takimi atakami – poza wykorzystaniem bezpiecznych sieci WLAN z zaimplementowanym sprzętowym szyfrowaniem lub uruchomieniem VPN i przekierowywaniem całego swego ruchu przez bramkę VPN. Jeśli jednak jesteśmy podpięci do zwykłych punktów dostępowych, wszystkie nasze ciasteczka z aplikacji Web 2.0 mogą zostać zjedzone przez kogoś innego.

źródło: zdnet

publikuj: Opublikuj w wykop.pl Opublikuj we flaker.pl Opublikuj na OSnews.pl Opublikuj w delicious wydrukuj
skomentuj »

Warto przeczytać

TACK: wreszcie zaufane certyfikaty SSL bez konieczności ufania urzędom certyfikującym
So.cl – Microsoft zrobił ładnie wyglądający, ale kompletnie nieczytelny serwis społecznościowy
Koniec z nieautoryzowanym dostępem i przyznawaniem nadmiernych uprawnień w systemach IT
Chcesz przechowywać pliki w chmurze? Instytut Fraunhofera ostrzega przed lukami w bezpieczeństwie

Komentarze

Odśwież

Uwaga! Możesz zarejestrować się w serwisie i w ten sposób zarezerwować swój nick oraz ominąć konieczność ciągłego odczytywania wyrazów.

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.

Popularne 7 dni 30 dni

Społeczność komentarze forum

Polecane książki

Praca

Czytaj Webhosting

Chcesz być na bieżąco z naszymi informacjami? Zapisz się na Newsletter.

Zarejestruj domenę

Sprawdź dostępność swojej domeny:

.pl: 0 zł   .com: 19.90 zł
.com.pl: 0 zł   .eu: 19.90 zł