>Форум Mozilla Россия
   http://forum.mozilla-russia.org/index.php
>Новости
   http://forum.mozilla-russia.org/viewforum.php?id=21
>Расширение Firefox взламывает аккаунты Facebook и Twitter
   http://forum.mozilla-russia.org/viewtopic.php?id=46671

MySh > 28-10-2010 00:55:02

Расширение Firefox взламывает аккаунты Facebook и Twitter

Выпущено дополнение для Firefox, позволяющее получать доступ к чужим аккаунтам в Facebook и Twitter. Речь идет об использовании открытых Wi-Fi сетей, в которых не шифруются данные. Если раньше можно было стать жертвой лишь хорошо осведомленных хакеров, то теперь кибер-шпионаж доступен каждому.

Facebook и Twitter, а также ряд других сервисов, не использующих шифрование при передаче данных, теперь точно лучше не использовать в открытых Wi-Fi сетях. Разработчик Эрик Батлер (Eric Butler) выложил в открытый доступ расширение для броузера Firefox, позволяющее получить доступ к чужим учетным записям в двух самых популярных социальных сетях в мире. Причем сделать это еще проще, чем дочитать этот абзац до конца. Все что требуется — просто установить дополнение в свой броузер. И вуаля! Вы уже видите в окошке Firesheep всех, кто заходил в одну из социальных сетей. Нажав на соответствующую пиктограмму, вы получаете доступ к компьютеру жертвы.

Если это произойдет с вами, то, скорее всего, вы даже не узнаете, а ваша переписка уже будет досконально изучена. Более того, это дополнение по умолчанию может проделывать все тоже самое с огромным количеством популярнейших сервисов: Amazon.com, Basecamp, Bit.ly, Cisco, CNET, Dropbox, Enom, Evernote, Facebook, Flickr, Github, Google, HackerNews, Harvest, Windows Live, NY Times, Pivotal Tracker, Slicehost, Tumblr, Twitter, WordPress, Yahoo, Yelp. Этим список не ограничится, так как к Firesheep можно подключить скрипты, с помощью которых можно получить доступ и к другим сервисам, так что можно ожидать в ближайшее время возможность взламывать и учетные записи в социальной сети «В Контакте».

«Руформатор» рекомендует не пользоваться Wi-Fi сетями без шифрования, чтобы обезопасить себя от возможного шпионажа. Кроме того, обратите внимание, что некие энтузиасты уже разработали дополнение все для того же Firefox, не позволяющее Firesheep получить доступ к вашим данным.

Rosenfeld > 28-10-2010 01:45:29

Да ничего сенсационного и нет. Просто разработали соответствующее дополнение под ФФ - ну и молодцы, толковые ребята!

... Причем сделали-то дополнение,  эксплуатирующее даже не уязвимости в WEP / WPA, а просто (как я понимаю) тупо использующее тот факт, что подключение ко всем вышеперечисленным сервисам (и к ЛЮБЫМ другим!) по НЕШИФРОВАННЫМ беспроводным сетям аналогично, если бы кто-то рядом с вами на улице стоял и орал вам на ухо свой логин и пароль от "ФКонтахтика", а вы бы (даже не записывая) его рано или поздно запомнили бы.

Кроме того, обратите внимание, что некие энтузиасты уже разработали дополнение все для того же Firefox, не позволяющее Firesheep получить доступ к вашим данным.

Тут они чуток приврали: дополнение Force-TLS (причем аж версии 2.0; всего вышло 5 версий!) было последний раз ОБНОВЛЕНО еще год назад, в 2009-м. И выпущено оно было как аналог дополнения HTTPS Everywhere

http://forcetls.sidstamm.com/
https://crypto.stanford.edu/forcehttps/

Причем и то, и другое дополнения не являются панацеей для идиотов, которые привыкли, допустим, заходить в свою гуглопочту не через шифрованное соединение по httpS, а через обычный http... Дополнения всего лишь пытаются предотвратить такую критическую ситуацию (при попытке отослать связку логин + пароль через незащищенное соединение) и перенаправить отправку по httpS - даже если такая возможность сервера официально не документирована для пользователей.

... Ну а о поголовном идиотизме людей, пытающихся работать: 1) в публичных Wi-Fi сетях без надежного шифрования подключения и 2) без шифрования соединения с конкретными сайтами, я вообще не говорю: как говорит одна моя подруга - "это их личные половые трудности".

kostyanet > 28-10-2010 08:39:08
MySh пишет

...так что можно ожидать в ближайшее время возможность взламывать и учетные записи в социальной сети «В Контакте».

Ужас ужасный.

С амазонами и прочими магазами вполне ясно. Но о чем волноваться члену социальной сети если он и без всяких там хакеров о себе рассказывает всю подноготную.

Shutnik > 28-10-2010 16:49:50

все срочно голосуем за баг :)

ПротопопулуS > 28-10-2010 18:19:00
Shutnik пишет

все срочно голосуем за баг

Поддержал :)

Лия > 29-10-2010 12:56:07

https://crypto.stanford.edu/forcehttps/

Не могу установить из-за "цифровая подпись не может быть проверена"

Rosenfeld > 30-10-2010 17:23:02

Проголосовал за баг. Специально для этого даже зарегистрировался! :)

А остальные что молчат - нет регистрации в местной Багзилле или всем глубоко пофигу отсутствие наличия соединения с форумом по шифрованному каналу?

P.S. Кстати, коллеги, раз уж будет доступ по httpS на форум, то неплохо было бы и поисковый плагин создать для защищенного соединения. И выложить его здесь: http://www.mozilla-russia.org/searchengines/.

Ну и чтобы веб-поиск через веб-интерфейс тоже имелся в наличии по защищенному каналу:

httpS://forum.mozilla-russia.org/search.php

kiko-pro > 09-11-2010 07:07:35
Shutnik пишет

все срочно голосуем за баг

Поддерживаю. :cool:
Жаль, народу мало...:rolleyes:

Rosenfeld > 07-01-2011 14:20:36

Коллеги, ну так что - не появилась возможность подсоединяться к форуму по защищенному каналу?

art386 > 12-02-2011 19:39:57

Выпущено дополнение для Firefox, позволяющее получать доступ к чужим аккаунтам в Facebook и Twitter. Речь идет об использовании открытых Wi-Fi сетей, в которых не шифруются данные. Если раньше можно было стать жертвой лишь хорошо осведомленных хакеров, то теперь кибер-шпионаж доступен каждому.

Да... это что то ужасное)