Eric Butler und Ian 'craSH' Gallagher haben auf der Konferenz ToorCon 12 die von Eric Butler entwickelte Firefox-Erweiterung Firesheep vorgestellt, die ungeschützt übertragene Session-Cookies einsammelt und ihrem Nutzer damit den Zugriff auf fremde Benutzerkonten erlaubt: 'Hey Web 2.0: Start protecting user privacy instead of pretending to'.
Dienstag, 26. Oktober 2010
Firesheep fängt ungeschützte Cookies
Firesheep steht für Mac OS X und als Beta-Version für Windows zum Download bereit, eine Linux-Version befindet sich in der Entwicklung. Windows-Nutzer müssen zusätzlich WinPcap installieren.
Die Erweiterung erscheint nach der Installation als Sidebar mit einem "Start Capturing"-Button. Wird der während der Nutzung eines unverschlüsselten WLANs gedrückt, fängt Firesheep an, die Session-Cookies bekannter Websites zu sammeln. Für alle gefundenen Cookies werden Name und Foto des betroffenen Benutzers angezeigt. Mit einem Doppelklick auf einen dieser Benutzer ist der Firesheep-Nutzer als dieser Benutzer bei der jeweiligen Website angemeldet. Die Anpassung an weitere Websites erfolgt über JavaScript-Code.
Schutzmaßnahmen für Benutzer
In einem ergänzenden Blog-Beitrag nennt Eric Butler in Zusammenarbeit mit Ian Gallagher einige mögliche Schutzmaßnahmen für Benutzer:
- Die Firefox-Erweiterung HTTPS-Everywhere erzwingt für eine Reihe bekannter Websites die durchgehende Verwendung von HTTPS.
- Auch Force-TLS ist eine Firefox-Erweiterung und mit HTTPS-Everywhere vergleichbar, erlaubt aber die Angabe einer Liste von Domains, für die HTTPS erzwungen werden soll.
- Vorausgesetzt, die VPN-Verbindung bricht nicht unerkannt zusammen, woraufhin die Daten unverschlüsselt übertragen werden, kann ein VPN (oder auch ein SSH-Tunnel) vor Angriffen schützen. Dabei wird die Gefahr allerdings nur verlagert: Ggf. können die Daten hinter dem Endpunkt des VPN abgefangen werden.
Hintergründe und Gegenmaßnahmen für Entwickler
Informationen über die Hintergründe der unsicher übertragenen Cookies sowie Gegenmaßnahmen für Entwickler finden Sie in den beiden vor kurzem veröffentlichten Texten. Betroffene Webanwendungen sollten auf die Nutzung von HTTPS umgestellt werden. Ist das nicht möglich, können alternativ auch die vorgestellten Gegenmaßnahmen in Betracht gezogen werden.
Übersicht über alle Artikel zum Thema
- HTTPS und Cookies sicher einsetzen
- Angriff und Abwehr des CookieMonster
- Firesheep fängt ungeschützte Cookies
- Standpunkt: Firesheep - unverantwortlich oder dringend nötig?
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
