26 oktober, 2010

Firesheep, session hijacking plugin till Firefox

Eric Butler verkar ha lessnat rejält på att många sajter som hanterar privat information inte tar säkerhet på allvar. Han har byggt en plugin till Firefox som kan användas för att lyssna efter s.k. "session-cookies" på det öppna trådlösa nätverk datorn är ansluten till. Det som är extra provocerande är att han har inbyggt stöd för flera stora sajter (facebook, twitter, flickr m.fl.) vilket innebär att det blir en automatiserad "session hijacking". Vem som helst kan göra det med denna plugin (som är gratis och finns på de flesta plattformar!). 

Dessa sajter har gemensamt att de använder långlivade cookies för att förenkla inloggningen genom att "komma ihåg" användaren. Det är i sak inget jätteproblem med långlivade cookies, problemet är att dessa sajter inte forcerar användningen av en krypterad anslutning (https). Eftersom all trafik sker över http skickas dessa cookies fram och tillbaka i klartext (innehållet i dessa cookies är generellt krypterat, men det spelar ingen roll eftersom de accepteras som identifiering av sajtens inloggningsmekanism) över nätverket vilket innebär att de kan användas av andra på nätverket. Cookies som innehåller tokens som accepteras som inloggning borde i en perfekt värld markeras som secure, vilket innebär att de bara skickas med om anslutingen är krypterad. Detta kan enkelt göras i Java med javax.servlet.http.Cookie-klassen.
// ...
String cookieName = "LoginToken";
String cookieValue = "SO SECRET!";
Cookie loginToken = new Cookie(cookieName, cookieValue);
loginToken.setSecure(true); // Skicka bara med cookien om HTTPS/SSL
  
// Lägg till cookien i responset
// ...

Jag utgår ifrån att detta kommer våldsamt skynda på implementeringen av SSL/HTTPS på flera populära sajter...

Presentationen om Firesheep finns här. Bläddra mellan slides med piltangenterna.



Inga kommentarer:

Skicka en kommentar