Hvatanje letećih kolačića

Ovo je jedan od onih blogova koji se ili napišu odmah ili se nikada ne napišu. Zato pišem svoj drugi blog u tri dana na ovom mestu. Posebno je značajan kao upozorenje onima koji koriste Facebook, Twitter i slične društvene mreže, a pristupaju preko otvorenih bežičnih mreža.

Tema je vezana za bezbednost na internetu, unekoliko srodna ovoj temi prethodnog bloga. Juče mi je Aleck javio (hvala Aleck!) da se pojavio Firesheep, što je nova ekstenzija za Firefox koja demonstrira ozbiljan problem bezbednosti kod nas i u svetu vrlo posećenih sajtova, kao što su npr. Facebook, Twitter i mnogi drugi.

Kao što je rečeno u ovom mom blogu, zajedničko za mnoge web sajtove jeste da štite komunikaciju SSL-om prepoznatljivom po https:// u polju za adresu. Ovo je protokol koji omogućava da se server verodostojno predstavi klijentu, a da onda započnu bezbednu / šifrovanu komunikaciju.

Međutim, obično se šifruju podaci kao što su korisničko ime i lozinka, a vrlo retko nešto više od toga tj. posle toga se obično pređe (vrati) na otvorenu komunikaciju (osim u nekim situacijama, kao što su bankarske transakcije, plaćanja i slično).

Najčešće, posle inicijalnog prijavljivanja na sistem, server pošalje klijentu kolačić (engl. cookie) koji se koristi za ostatak komunikacije tj. zahteve koje vaš browser šalje serveru. Obzirom da većina praktičnih implementacija, ovu naknadnu komunikaciju ne šifruje, ako se komunicira u otvorenoj bežičnoj mreži, kolačići prosto "lete" kroz etar u otvorenom (nešifrovanom) obliku. Ako neko "uhvati vaš leteći kolačić" onda može da preotme i vašu sesiju (tj. komunikaciju) sa serverom i da je dalje nastavi u vaše ime.

Jedan od web sajtova koji je vrlo osetljiv na ovu situaciju je Facebook. Twitter izgleda trenutno ima sličan problem.

Eric Butler je o ovom problemu govorio pre par dana i napisao više detalja ovde.

On je javno stavio na raspolaganje svoj slobodni otvoreni softver koji možete preuzeti za MacOS X i Windows platformu (trenutno, a kaže uskoro će biti i za Linux). Na tom sajtu je prikazano kako se jednostavno može "uhvatiti" tuđi kolačić i tako preoteti tuđa sesija sa Facebookom, ukoliko taj neko koristi otvorenu bežičnu mrežu. Takvih je ovih dana, pretpostavljam, mnogo širom sveta.

Za jedan dan, Firesheep je bio preuzet oko 130.000 puta. Očito su mnogi požurili da ga isprobaju.

Eto.. pa vi vidite.

Preporuka: Ne koristite Facebook i slične stvari preko otvorene bežične mreže.