2011年5月29日星期日
Firesheep攻击Wi-Fi易如反掌
使用Wi-Fi网络通常是不安全的,无论你在咖啡馆还是其他公共场合,都有可能导致自己的信息被泄漏出去。这不是什么新鲜事,但拜FireFox的新拓展功能Firesheep所赐,这变得越来越容易了。任何一个人通过Firesheep都可以很轻易地看到你正在上网、攫取你的在社交网站的登录信息,然后接管你的在线帐户。
总得来说,Firesheep的插件程序会探寻一些大型网站,如Facebook、Twitter等——只对初始的登录页面进行加密,而非整个网站 ——并伺机插入其中,截获cookies认证信息,特别是当你使用Wi-Fi的时候。使用HTTPS协议或者SSL加密技术的站点不易受到影响,如Gmail和网上银行等。但是,目前流行的大量的网络服务,包括Facebook、Twitter、Windows Live,、WordPress、雅虎(Yahoo)、Evernote 和《纽约时报》(NY Times)等,都没有使用HTTPS和SSL技术。
Firesheep的开发者埃里克·巴特勒(Eric Butler)使这种攻击变得易如反掌。Firesheep在FireFox浏览器上增加了一个工具条,可以显示出任何正在连接某个不安全Wi-Fi网络的人的帐户。人们可使用这项功能自动地获得留在对方电脑上的cookies,只需要轻轻点击就可登录这个帐户,然后开始利用这个被“绑架”的帐户为所欲为,无论是模仿帐户主人以取乐,还是盗取其个人信息,甚至做其他更恶意的事情。这使得该功能刚刚被开发出来两天,就已经有超过20万的下载量了。 巴特勒说自己并非出于恶意才开发Firesheep的,自己的初衷是希望这个拓展功能可以迫使诸如Facebook、Twitter等的主流网站对此作出反应,积极采取措施保护其用户。他在自己的博客里写道:“网站对自己的用户是负有保护其信息安全的责任的,但是长久以来它们对此极为漠视……我希望 firesheep会帮助这些用户。”
截图如下:
总得来说,Firesheep的插件程序会探寻一些大型网站,如Facebook、Twitter等——只对初始的登录页面进行加密,而非整个网站 ——并伺机插入其中,截获cookies认证信息,特别是当你使用Wi-Fi的时候。使用HTTPS协议或者SSL加密技术的站点不易受到影响,如Gmail和网上银行等。但是,目前流行的大量的网络服务,包括Facebook、Twitter、Windows Live,、WordPress、雅虎(Yahoo)、Evernote 和《纽约时报》(NY Times)等,都没有使用HTTPS和SSL技术。
Firesheep的开发者埃里克·巴特勒(Eric Butler)使这种攻击变得易如反掌。Firesheep在FireFox浏览器上增加了一个工具条,可以显示出任何正在连接某个不安全Wi-Fi网络的人的帐户。人们可使用这项功能自动地获得留在对方电脑上的cookies,只需要轻轻点击就可登录这个帐户,然后开始利用这个被“绑架”的帐户为所欲为,无论是模仿帐户主人以取乐,还是盗取其个人信息,甚至做其他更恶意的事情。这使得该功能刚刚被开发出来两天,就已经有超过20万的下载量了。 巴特勒说自己并非出于恶意才开发Firesheep的,自己的初衷是希望这个拓展功能可以迫使诸如Facebook、Twitter等的主流网站对此作出反应,积极采取措施保护其用户。他在自己的博客里写道:“网站对自己的用户是负有保护其信息安全的责任的,但是长久以来它们对此极为漠视……我希望 firesheep会帮助这些用户。”
截图如下:
标签: Firesheep
// 发贴者:放牛娃的春天 @ 五月 29, 2011 
订阅 博文 [Atom]