Skip to content

Firesheep fängt ungeschützte Cookies

Geschrieben von Carsten Eilers am

Eric Butler und Ian ‘craSH’ Gallagher haben auf der Konferenz ToorCon 12 die von Eric Butler entwickelte Firefox-Erweiterung Firesheep vorgestellt, die ungeschützt übertragene Session-Cookies einsammelt und ihrem Nutzer damit den Zugriff auf fremde Benutzerkonten erlaubt: ‘Hey Web 2.0: Start protecting user privacy instead of pretending to’.

Firefox-Erweiterung für Mac OS X und Windows

Firesheep steht für Mac OS X und als Beta-Version für Windows zum Download bereit, eine Linux-Version befindet sich in der Entwicklung. Windows-Nutzer müssen zusätzlich WinPcap installieren.

Die Erweiterung erscheint nach der Installation als Sidebar mit einem “Start Capturing”-Button. Wird der während der Nutzung eines unverschlüsselten WLANs gedrückt, fängt Firesheep an, die Session-Cookies bekannter Websites zu sammeln. Für alle gefundenen Cookies werden Name und Foto des betroffenen Benutzers angezeigt. Mit einem Doppelklick auf einen dieser Benutzer ist der Firesheep-Nutzer als dieser Benutzer bei der jeweiligen Website angemeldet. Die Anpassung an weitere Websites erfolgt über JavaScript-Code.

Schutzmaßnahmen für Benutzer

In einem ergänzenden Blog-Beitrag nennt Eric Butler in Zusammenarbeit mit Ian Gallagher einige mögliche Schutzmaßnahmen für Benutzer:

  • Die Firefox-Erweiterung HTTPS-Everywhere erzwingt für eine Reihe bekannter Websites die durchgehende Verwendung von HTTPS.
  • Auch Force-TLS ist eine Firefox-Erweiterung und mit HTTPS-Everywhere vergleichbar, erlaubt aber die Angabe einer Liste von Domains, für die HTTPS erzwungen werden soll.
  • Vorausgesetzt, die VPN-Verbindung bricht nicht unerkannt zusammen, woraufhin die Daten unverschlüsselt übertragen werden, kann ein VPN (oder auch ein SSH-Tunnel) vor Angriffen schützen. Dabei wird die Gefahr allerdings nur verlagert: Ggf. können die Daten hinter dem Endpunkt des VPN abgefangen werden.

Hintergründe und Gegenmaßnahmen für Entwickler

Informationen über die Hintergründe der unsicher übertragenen Cookies sowie Gegenmaßnahmen für Entwickler finden Sie in den beiden vor kurzem veröffentlichten Texten. Betroffene Webanwendungen sollten auf die Nutzung von HTTPS umgestellt werden. Ist das nicht möglich, können alternativ auch die vorgestellten Gegenmaßnahmen in Betracht gezogen werden.

Carsten Eilers

Übersicht über alle Artikel zum Thema

HTTPS und Cookies sicher einsetzen
Angriff und Abwehr des CookieMonster
Firesheep fängt ungeschützte Cookies
Standpunkt: Firesheep – unverantwortlich oder dringend nötig?

Trackbacks

Dipl.-Inform. Carsten Eilers am : SSL/HTTPS – Schon wieder schlechte Nachrichten

Vorschau anzeigen
Es gibt schon wieder schlechte Nachrichten zu SSL bzw. konkret zu HTTPS: Da wird von den Webservern nicht so sicher eingesetzt, wie es eigentlich nötig wäre. Dadurch sind in sehr vielen Fällen SSL-Stripping-Angriffe möglich.

Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin 2.2014 – Die OWASP Top 10, Teil 1

Vorschau anzeigen
Im Entwickler Magazin 2.2014 ist der erste Teil eines zweiteiligen Artikels über die OWASP Top 10, die zehn gefährlichsten Schwachstellen in Webanwendungen, erschienen. Die Reihenfolge der Schwachstellen ergibt sich aus vier Faktoren

entwickler.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Dipl.-Inform. Carsten Eilers am : Drucksache: IT Administrator 1.16 – MitM-Angriffe auf HTTPS

Vorschau anzeigen
Im IT-Administrator Januar 2016 ist ein Artikel über Angriffe auf HTTPS-Verbindungen erschienen. HTTPS schützt eine Verbindung sowohl vor dem Abhören als auch vor Manipulationen. Aber nur, wenn sich der Angreifer nicht in die

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie 🙂 und 😉 werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!