Sidejacking to termin użyty przez Grahama na określenie zastosowanej przez niego techniki, pozwalającej przechwycić niemal wszystkie aplikacje Web 2.0, które zapisują dane logowania w ciasteczkach, by użytkownicy nie musieli za każdym razem ponownie wpisywać haseł. Nasłuchując fal radiowych bezprzewodowej komunikacji, atakujący może zbierać ciasteczka od wielu użytkowników i korzystać z ich AJAX-owych aplikacji. Choć hasło nie zostaje złamane, to samo posiadanie ciasteczka jest tymczasowym kluczem do takich witryn, jak Gmail, Yahoo! czy Hotmail. Atakujący może nawet ustalić, co użytkownik kupował w sklepach internetowych czy gdzie mieszka.

Gmail w trybie HTTPS miał być bezpieczny, ponieważ wszystko szyfrował. Okazuje się jednak, że kod JavaScript Gmaila powraca do niezaszyfrowanego trybu HTTP, jeśli HTTPS jest niedostępne. A zdarza się to bardzo często, na przykład gdy laptop łączy się z punktem dostępowym. Zanim użytkownik się zaloguje, laptop będzie próbował zalogować się do serwera Gmaila, jeśli aplikacja ta jest otwarta (a często pozostawia się ją otwartą w karcie przeglądarki). Jako że jednak wciąż nie ma połączenia, JavaScript Gmaila spróbuje nawiązać komunikację przez nieszyfrowane połączenie HTTP. I gra skończona – jeśli ktoś nas właśnie nasłuchuje.

Co najgorsze, Gmail Google'a jest jedną z najbezpieczniejszych aplikacji Web 2.0, a wciąż nie zapewnia użytkownikom bezpieczeństwa w trybie SSL. Inne, podobne mu aplikacje, takie jak Hotmail Microsoftu czy Yahoo! Mail, nawet nie mają trybów SSL. Używają co prawda SSL dla uwierzytelniania użytkownika, ale nie ma to żadnego znaczenia – bo zaraz po zalogowaniu przechodzą do trybu nieszyfrowanego.

W chwili obecnej nie istnieje żadna możliwość obrony przed takimi atakami – poza wykorzystaniem bezpiecznych sieci WLAN z zaimplementowanym sprzętowym szyfrowaniem lub uruchomieniem VPN i przekierowywaniem całego swego ruchu przez bramkę VPN. Jeśli jednak jesteśmy podpięci do zwykłych punktów dostępowych, wszystkie nasze ciasteczka z aplikacji Web 2.0 mogą zostać zjedzone przez kogoś innego.

źródło: zdnet