Petak, 29.10.2010.

10:19

Hvatanje letećih kolačića

Izvor: B92

Hvatanje leteæih kolaèiæa IMAGE SOURCE
IMAGE DESCRIPTION

9 Komentari

Sortiraj po:

bazinga

pre 13 godina

@DM

Meni je savrseno jasno, pre nekoliko godina i pre FB mi nije bio potreban nikakav software na izvolte da bi to uradio.
Ukrasti neciju sesiju ne mora uopste da bude preko konekcije, postoje i drugi nacini a WiFi sigurno da olaksava posao pa cak iako je WEP u pitanju.
Sta sam hteo da kazem ako je neko dovoljno naivan nista ga nece spasiti, pa cak ni preko zice ako smo na istoj mrezi :)

DM

pre 13 godina

@bazinga

Ne koriste svi sajtovi SSL konekciju sve vreme sesije. Neki SSL koriste samo za prenos user name-a i passworda, a posle pređu na otvorenu (nešifrovanu) komunikaciju. To onda može da postane problem. Ako se, uz to, koristi nezaštićena bežična mreža, onda se kukiji prenose između klijenta i servera u otvorenom obliku, a kao takvi se moglu snifovati pomoću programa FireSheep, koji je sada stavljen na izvolite da svako može da ga skine i koristi. To je ono što je novo. Doduše postoje i drugi programi za to, ali ih je bilo ranije malo teže koristiti i naći baš ono što se traži u gomili informacija koje skinu sa nezaštićene mreže.

Kuki može neko da vam ukrade i dok ste vi na vezi i ništa ne slutite, a ljudi sede na FB satima. To što ćete se izlogovati na kraju i ubiti sesiju nema mnogo veze, ako vam drpe sesiju dok ste vi uveliko na vezi i ne mislite da se uskoro otkačite. Neki sajtovi imaju indikaciju ko je logovan i sa koje IP adrese (rekoste gmail), ali neki ne.

Suština ove vesti i ono što je novo je da se pojavio alat "na izvolite", kojim svako ko ume da ga downloaduje i instalira (zašta i ne treba neko veliko znanje) može okolo da krade kukije iz nezaštićenih mreža i da krade identitet na FB, Twitteru i još gomili sajtova. Autor na to upozorava.

Ako koristite žičanu mrežu, onda "kradljivac kukija" mora da se prikači negde na putu od klijenta do servera, što je mnogo teže nego u bežičnoj pa još nešifrovanoj komunikaciji.

Mita

pre 13 godina

Odlično što ste ovo objavili i upozorili nas. Moraću da pripazim kako se kačim na mrežu. Nisam baš puno pazio do sada, stalno sam tražio gde ima da se prikačim za "dž" i bez passworda. Znači neko može namerno da napravi nezaštićenu mrežu i da nam onda kupi passworde!?

bazinga

pre 13 godina

Dakle ovo je stvar koja je prisuta od kada postoje cookies i sesije, i svaki programer je ovoga svestan... Ovo je sada kao neki pronalazak :)

Iz tog razloga autentikacija se vrsi preko SSL, tj da neko ne bi ukrao sifru a vi se lepo izlogujte svaki put kada zavrsite da bi ubili sesiju!

GMAIL npr koristi nesto sto moze da pomogne a to je na dnu strane mozete da pratite dal je jos neko ulogovan istovremeno i preko koje IP adrese. TO upravo tome sluzi.

Inace, ko nije toga svestan i ne zna da se zastiti, jednako je lako takvoj osobi ukrasti i sifru.

U svakom slucaju korisna informacija ali matora!

Deki

pre 13 godina

Odličan tekst, svaka čast! Dobro je da neko daje savete za "nas ostale" koji baš i ne znamo puno o bezbednosti Interneta.

Nastavite sa ovakvim kolumnama.

Mirko

pre 13 godina

@blah:

Pa lepo je čovek napisao: "Jedan od web sajtova koji je vrlo osetljiv na ovu situaciju je Facebook."

To znači da nije samo FB nego i gomila drugih.

Pre nego što odvališ da je "tekst glup", bilo bi dobro da pročitaš dalje od naslova.

Aca

pre 13 godina

E moj "blah" čitaš li ti šta? :) Pa lepo ti piše u podnaslovu: "i rupama u bezbednosti Facebook-a (a i mnogih drugih web sajtova)."

Autor Firesheep-a je pokazao na svom sajtu http://codebutler.com/firesheep primer sa Facebook-om i Twitter-om.

I razlikuju se sajtovi, neki imaju SSL za sve što treba i gde treba, a neki nemaju zbog uštede na performansama, brzine i koječega.

Ovo je stvarno ODLIČAN tekst i upozorenje. A na blogu http://blog.b92.net/text/16411/Facebook-i-hvatanje-letecih-kolacica/ ima i dosta korisnih komentara.

Strika

pre 13 godina

Daleko od toga da je tekst glup.

Bacite pogled na https://www.eff.org/https-everywhere/

Ekstenzija za Firefox koja omogućava konstantnu vezu preko SSL-a sa mnogim poznatim sajtovima. Na Facebooku neće raditi čet, ali će vaša veza biti sigurna.

blah

pre 13 godina

A po čemu se način na koji facebook koristi cookie razliuje od bilo kog sajta? Ako neko može da uhvati cookie može da ga uhvati za svaki sajt, a ne samo za facebook ili twitter i tako preuzme identitet na svakom sajtu. Glup tekst...

Deki

pre 13 godina

Odličan tekst, svaka čast! Dobro je da neko daje savete za "nas ostale" koji baš i ne znamo puno o bezbednosti Interneta.

Nastavite sa ovakvim kolumnama.

Mirko

pre 13 godina

@blah:

Pa lepo je čovek napisao: "Jedan od web sajtova koji je vrlo osetljiv na ovu situaciju je Facebook."

To znači da nije samo FB nego i gomila drugih.

Pre nego što odvališ da je "tekst glup", bilo bi dobro da pročitaš dalje od naslova.

Mita

pre 13 godina

Odlično što ste ovo objavili i upozorili nas. Moraću da pripazim kako se kačim na mrežu. Nisam baš puno pazio do sada, stalno sam tražio gde ima da se prikačim za "dž" i bez passworda. Znači neko može namerno da napravi nezaštićenu mrežu i da nam onda kupi passworde!?

Strika

pre 13 godina

Daleko od toga da je tekst glup.

Bacite pogled na https://www.eff.org/https-everywhere/

Ekstenzija za Firefox koja omogućava konstantnu vezu preko SSL-a sa mnogim poznatim sajtovima. Na Facebooku neće raditi čet, ali će vaša veza biti sigurna.

Aca

pre 13 godina

E moj "blah" čitaš li ti šta? :) Pa lepo ti piše u podnaslovu: "i rupama u bezbednosti Facebook-a (a i mnogih drugih web sajtova)."

Autor Firesheep-a je pokazao na svom sajtu http://codebutler.com/firesheep primer sa Facebook-om i Twitter-om.

I razlikuju se sajtovi, neki imaju SSL za sve što treba i gde treba, a neki nemaju zbog uštede na performansama, brzine i koječega.

Ovo je stvarno ODLIČAN tekst i upozorenje. A na blogu http://blog.b92.net/text/16411/Facebook-i-hvatanje-letecih-kolacica/ ima i dosta korisnih komentara.

DM

pre 13 godina

@bazinga

Ne koriste svi sajtovi SSL konekciju sve vreme sesije. Neki SSL koriste samo za prenos user name-a i passworda, a posle pređu na otvorenu (nešifrovanu) komunikaciju. To onda može da postane problem. Ako se, uz to, koristi nezaštićena bežična mreža, onda se kukiji prenose između klijenta i servera u otvorenom obliku, a kao takvi se moglu snifovati pomoću programa FireSheep, koji je sada stavljen na izvolite da svako može da ga skine i koristi. To je ono što je novo. Doduše postoje i drugi programi za to, ali ih je bilo ranije malo teže koristiti i naći baš ono što se traži u gomili informacija koje skinu sa nezaštićene mreže.

Kuki može neko da vam ukrade i dok ste vi na vezi i ništa ne slutite, a ljudi sede na FB satima. To što ćete se izlogovati na kraju i ubiti sesiju nema mnogo veze, ako vam drpe sesiju dok ste vi uveliko na vezi i ne mislite da se uskoro otkačite. Neki sajtovi imaju indikaciju ko je logovan i sa koje IP adrese (rekoste gmail), ali neki ne.

Suština ove vesti i ono što je novo je da se pojavio alat "na izvolite", kojim svako ko ume da ga downloaduje i instalira (zašta i ne treba neko veliko znanje) može okolo da krade kukije iz nezaštićenih mreža i da krade identitet na FB, Twitteru i još gomili sajtova. Autor na to upozorava.

Ako koristite žičanu mrežu, onda "kradljivac kukija" mora da se prikači negde na putu od klijenta do servera, što je mnogo teže nego u bežičnoj pa još nešifrovanoj komunikaciji.

bazinga

pre 13 godina

Dakle ovo je stvar koja je prisuta od kada postoje cookies i sesije, i svaki programer je ovoga svestan... Ovo je sada kao neki pronalazak :)

Iz tog razloga autentikacija se vrsi preko SSL, tj da neko ne bi ukrao sifru a vi se lepo izlogujte svaki put kada zavrsite da bi ubili sesiju!

GMAIL npr koristi nesto sto moze da pomogne a to je na dnu strane mozete da pratite dal je jos neko ulogovan istovremeno i preko koje IP adrese. TO upravo tome sluzi.

Inace, ko nije toga svestan i ne zna da se zastiti, jednako je lako takvoj osobi ukrasti i sifru.

U svakom slucaju korisna informacija ali matora!

bazinga

pre 13 godina

@DM

Meni je savrseno jasno, pre nekoliko godina i pre FB mi nije bio potreban nikakav software na izvolte da bi to uradio.
Ukrasti neciju sesiju ne mora uopste da bude preko konekcije, postoje i drugi nacini a WiFi sigurno da olaksava posao pa cak iako je WEP u pitanju.
Sta sam hteo da kazem ako je neko dovoljno naivan nista ga nece spasiti, pa cak ni preko zice ako smo na istoj mrezi :)

blah

pre 13 godina

A po čemu se način na koji facebook koristi cookie razliuje od bilo kog sajta? Ako neko može da uhvati cookie može da ga uhvati za svaki sajt, a ne samo za facebook ili twitter i tako preuzme identitet na svakom sajtu. Glup tekst...

blah

pre 13 godina

A po čemu se način na koji facebook koristi cookie razliuje od bilo kog sajta? Ako neko može da uhvati cookie može da ga uhvati za svaki sajt, a ne samo za facebook ili twitter i tako preuzme identitet na svakom sajtu. Glup tekst...

bazinga

pre 13 godina

Dakle ovo je stvar koja je prisuta od kada postoje cookies i sesije, i svaki programer je ovoga svestan... Ovo je sada kao neki pronalazak :)

Iz tog razloga autentikacija se vrsi preko SSL, tj da neko ne bi ukrao sifru a vi se lepo izlogujte svaki put kada zavrsite da bi ubili sesiju!

GMAIL npr koristi nesto sto moze da pomogne a to je na dnu strane mozete da pratite dal je jos neko ulogovan istovremeno i preko koje IP adrese. TO upravo tome sluzi.

Inace, ko nije toga svestan i ne zna da se zastiti, jednako je lako takvoj osobi ukrasti i sifru.

U svakom slucaju korisna informacija ali matora!

Mita

pre 13 godina

Odlično što ste ovo objavili i upozorili nas. Moraću da pripazim kako se kačim na mrežu. Nisam baš puno pazio do sada, stalno sam tražio gde ima da se prikačim za "dž" i bez passworda. Znači neko može namerno da napravi nezaštićenu mrežu i da nam onda kupi passworde!?

bazinga

pre 13 godina

@DM

Meni je savrseno jasno, pre nekoliko godina i pre FB mi nije bio potreban nikakav software na izvolte da bi to uradio.
Ukrasti neciju sesiju ne mora uopste da bude preko konekcije, postoje i drugi nacini a WiFi sigurno da olaksava posao pa cak iako je WEP u pitanju.
Sta sam hteo da kazem ako je neko dovoljno naivan nista ga nece spasiti, pa cak ni preko zice ako smo na istoj mrezi :)

Mirko

pre 13 godina

@blah:

Pa lepo je čovek napisao: "Jedan od web sajtova koji je vrlo osetljiv na ovu situaciju je Facebook."

To znači da nije samo FB nego i gomila drugih.

Pre nego što odvališ da je "tekst glup", bilo bi dobro da pročitaš dalje od naslova.

Strika

pre 13 godina

Daleko od toga da je tekst glup.

Bacite pogled na https://www.eff.org/https-everywhere/

Ekstenzija za Firefox koja omogućava konstantnu vezu preko SSL-a sa mnogim poznatim sajtovima. Na Facebooku neće raditi čet, ali će vaša veza biti sigurna.

Aca

pre 13 godina

E moj "blah" čitaš li ti šta? :) Pa lepo ti piše u podnaslovu: "i rupama u bezbednosti Facebook-a (a i mnogih drugih web sajtova)."

Autor Firesheep-a je pokazao na svom sajtu http://codebutler.com/firesheep primer sa Facebook-om i Twitter-om.

I razlikuju se sajtovi, neki imaju SSL za sve što treba i gde treba, a neki nemaju zbog uštede na performansama, brzine i koječega.

Ovo je stvarno ODLIČAN tekst i upozorenje. A na blogu http://blog.b92.net/text/16411/Facebook-i-hvatanje-letecih-kolacica/ ima i dosta korisnih komentara.

Deki

pre 13 godina

Odličan tekst, svaka čast! Dobro je da neko daje savete za "nas ostale" koji baš i ne znamo puno o bezbednosti Interneta.

Nastavite sa ovakvim kolumnama.

DM

pre 13 godina

@bazinga

Ne koriste svi sajtovi SSL konekciju sve vreme sesije. Neki SSL koriste samo za prenos user name-a i passworda, a posle pređu na otvorenu (nešifrovanu) komunikaciju. To onda može da postane problem. Ako se, uz to, koristi nezaštićena bežična mreža, onda se kukiji prenose između klijenta i servera u otvorenom obliku, a kao takvi se moglu snifovati pomoću programa FireSheep, koji je sada stavljen na izvolite da svako može da ga skine i koristi. To je ono što je novo. Doduše postoje i drugi programi za to, ali ih je bilo ranije malo teže koristiti i naći baš ono što se traži u gomili informacija koje skinu sa nezaštićene mreže.

Kuki može neko da vam ukrade i dok ste vi na vezi i ništa ne slutite, a ljudi sede na FB satima. To što ćete se izlogovati na kraju i ubiti sesiju nema mnogo veze, ako vam drpe sesiju dok ste vi uveliko na vezi i ne mislite da se uskoro otkačite. Neki sajtovi imaju indikaciju ko je logovan i sa koje IP adrese (rekoste gmail), ali neki ne.

Suština ove vesti i ono što je novo je da se pojavio alat "na izvolite", kojim svako ko ume da ga downloaduje i instalira (zašta i ne treba neko veliko znanje) može okolo da krade kukije iz nezaštićenih mreža i da krade identitet na FB, Twitteru i još gomili sajtova. Autor na to upozorava.

Ako koristite žičanu mrežu, onda "kradljivac kukija" mora da se prikači negde na putu od klijenta do servera, što je mnogo teže nego u bežičnoj pa još nešifrovanoj komunikaciji.