Firesheep fängt ungeschützte Cookies

Geschrieben von Carsten Eilers am Dienstag, 26. Oktober 2010 um 17:38

Eric Butler und Ian 'craSH' Gallagher haben auf der Konferenz ToorCon 12 die von Eric Butler entwickelte Firefox-Erweiterung Firesheep vorgestellt, die ungeschützt übertragene Session-Cookies einsammelt und ihrem Nutzer damit den Zugriff auf fremde Benutzerkonten erlaubt: 'Hey Web 2.0: Start protecting user privacy instead of pretending to'.

Firefox-Erweiterung für Mac OS X und Windows

Firesheep steht für Mac OS X und als Beta-Version für Windows zum Download bereit, eine Linux-Version befindet sich in der Entwicklung. Windows-Nutzer müssen zusätzlich WinPcap installieren.

Die Erweiterung erscheint nach der Installation als Sidebar mit einem "Start Capturing"-Button. Wird der während der Nutzung eines unverschlüsselten WLANs gedrückt, fängt Firesheep an, die Session-Cookies bekannter Websites zu sammeln. Für alle gefundenen Cookies werden Name und Foto des betroffenen Benutzers angezeigt. Mit einem Doppelklick auf einen dieser Benutzer ist der Firesheep-Nutzer als dieser Benutzer bei der jeweiligen Website angemeldet. Die Anpassung an weitere Websites erfolgt über JavaScript-Code.

Schutzmaßnahmen für Benutzer

In einem ergänzenden Blog-Beitrag nennt Eric Butler in Zusammenarbeit mit Ian Gallagher einige mögliche Schutzmaßnahmen für Benutzer:

Die Firefox-Erweiterung HTTPS-Everywhere erzwingt für eine Reihe bekannter Websites die durchgehende Verwendung von HTTPS.
Auch Force-TLS ist eine Firefox-Erweiterung und mit HTTPS-Everywhere vergleichbar, erlaubt aber die Angabe einer Liste von Domains, für die HTTPS erzwungen werden soll.
Vorausgesetzt, die VPN-Verbindung bricht nicht unerkannt zusammen, woraufhin die Daten unverschlüsselt übertragen werden, kann ein VPN (oder auch ein SSH-Tunnel) vor Angriffen schützen. Dabei wird die Gefahr allerdings nur verlagert: Ggf. können die Daten hinter dem Endpunkt des VPN abgefangen werden.

Hintergründe und Gegenmaßnahmen für Entwickler

Informationen über die Hintergründe der unsicher übertragenen Cookies sowie Gegenmaßnahmen für Entwickler finden Sie in den beiden vor kurzem veröffentlichten Texten. Betroffene Webanwendungen sollten auf die Nutzung von HTTPS umgestellt werden. Ist das nicht möglich, können alternativ auch die vorgestellten Gegenmaßnahmen in Betracht gezogen werden.

Carsten Eilers

Übersicht über alle Artikel zum Thema

HTTPS und Cookies sicher einsetzen
Angriff und Abwehr des CookieMonster
Firesheep fängt ungeschützte Cookies
Standpunkt: Firesheep - unverantwortlich oder dringend nötig?

Trackbacks

Trackback-URL für diesen Eintrag

Dipl.-Inform. Carsten Eilers am Montag, 5. November 2012: SSL/HTTPS - Schon wieder schlechte Nachrichten

Vorschau anzeigen

Es gibt schon wieder schlechte Nachrichten zu SSL bzw. konkret zu HTTPS: Da wird von den Webservern nicht so sicher eingesetzt, wie es eigentlich nötig wäre. Dadurch sind in sehr vielen Fällen SSL-Stripping-Angriffe möglich.

Dipl.-Inform. Carsten Eilers am Donnerstag, 13. Februar 2014: Drucksache: Entwickler Magazin 2.2014 - Die OWASP Top 10, Teil 1

Vorschau anzeigen

Im Entwickler Magazin 2.2014 ist der erste Teil eines zweiteiligen Artikels über die OWASP Top 10, die zehn gefährlichsten Schwachstellen in Webanwendungen, erschienen. Die Reihenfolge der Schwachstellen ergibt sich aus vier Faktoren

entwickler.de am Mittwoch, 17. Dezember 2014: PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Dipl.-Inform. Carsten Eilers am Donnerstag, 21. Januar 2016: Drucksache: IT Administrator 1.16 - MitM-Angriffe auf HTTPS

Vorschau anzeigen

Im IT-Administrator Januar 2016 ist ein Artikel über Angriffe auf HTTPS-Verbindungen erschienen. HTTPS schützt eine Verbindung sowohl vor dem Abhören als auch vor Manipulationen. Aber nur, wenn sich der Angreifer nicht in die

Dipl.-Inform. Carsten Eilers am Mittwoch, 10. August 2016: Drucksache: Entwickler Magazin 5.16 - Angriffsziel WLAN

Vorschau anzeigen

Im Entwickler Magazin 5.16 ist ein Artikel über Angriffe auf WLANs erschienen. Drahtlose Kommunikation, nicht nur im WLAN, hat gegenüber kabelgebundener Kommunikation zwei große Nachteile: Jeder kann die Kommunikation belausc

Dipl.-Inform. Carsten Eilers am Dienstag, 10. Januar 2017: Drucksache: PHP Magazin 2.17 - SSL&TLS: Protokolle unter Dauerbeschuss

Vorschau anzeigen

Im PHP Magazin 2.2017 ist ein Überblick über Schwachstellen in und Angriffe auf SSL/TLS erschienen. Das SSL nicht mehr ausreichend sicher ist und durch TLS in einer möglichst hohen Version ersetzt werden sollte ist seit lä

Dipl.-Inform. Carsten Eilers am Donnerstag, 17. August 2017: WLAN-Sicherheit 3 - Tools für WEP-Angriffe

Vorschau anzeigen

Sie haben bereits erfahren, wie WEP funktioniert und welche Schwachstellen und Angriffe es dafür gibt. In dieser Folge geht es um die Absicherung von WEP sowie Tools für die Angriffe Zur Durchführung der vorgestellten Ang

Dipl.-Inform. Carsten Eilers am Donnerstag, 14. Dezember 2017: WLAN-Sicherheit 19 - WLAN-Hotspots

Vorschau anzeigen

Wie angekündigt geht es in dieser Folge um die Sicherheit von WLAN-Hotspots. Der wesentliche Unterschied zwischen einem Hotspot und dem Access Point eines normalen WLAN besteht darin, das die Hauptaufgabe eines Hotspot die Bereitstellung des Int

Dipl.-Inform. Carsten Eilers am Donnerstag, 11. Januar 2018: WLAN-Sicherheit 21 - Rogue Access Points, Teil 2: MANA

Vorschau anzeigen

Der KARMA-Angriff eines Rogue Access Points, bei dem der AP sich gegenüber dem Client als dem bekanntes WLAN ausgibt funktioniert auch in der verbesserten Variante nur, wenn die Clients überhaupt nach Netzwerken suchen. Was wie schon er

Mo	Di	Mi	Do	Fr	Sa	So
← Zurück	April '24
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30