閱讀: 2681|回覆: 0

Firesheep輕易入侵Facebook、Twitter、Google等用戶帳號 [複製連結]

Rank: 9Rank: 9Rank: 9

發表
3191
註冊時間
2008-1-30

管理員

發表於 2010-11-29 22:54:26 |顯示全部樓層
Firesheep輕易入侵Facebook、Twitter、Google等用戶帳號

你知道嗎?現在有一款名為Firesheep的Firefox擴充套件,能讓任何使用未加密WiFi網絡的網友,獲取幾乎每一個社群網站的使用者資料。這款應用程式在發佈一小時內,就被下載了超過1000次,且陸續有網友回報實驗成功,不過好險TechCrunch的一位讀者,也找到了能使它失效的另一個Firefox擴充套件Force-TLS。

根據Firesheep程式開發者Eric
Butler在他的公告中指出,任何使用開放WiFi網絡造訪不安全網站的用戶,其姓名和照片將會被陳列在Firesheep視窗中,而網友只要用滑鼠雙擊欲侵入用戶的名字,便可輕易以他們的身分登入網站,這表示如果你用未加密WiFi上網,任何人都可輕鬆獲取你的一些最隱私且個人的資料,而且你根本不會發現,其原理在於如果這個網站不安全,那麼Firesheep便可藉由cookie(某些網站為了辨別使用者身份,而儲存在用戶端上的資料)持續追蹤用戶,並利用這些cookies讓網友假裝成其他用戶。

事實上,幾乎所有的社群網站都不安全,光是Firesheep中預設的網站,就有Amazon.com、Basecamp、bit.ly、Cisco、 CNET、Dropbox、Enom、Evernote、Facebook、Flickr、Github、Google、HackerNews、 Harvest、Windows
Live、NY Times、Pivotal
Tracker、Slicehost、tumblr、Twitter、WordPress、Yahoo、及Yelp,而即使是不在這清單上的,任何人仍可創造自己的plugin外掛程式,因此不難想像其影響範圍有多大。

幸運的是,Firesheep能運作是因為,大多數網站都採用較快速的原始HTTP網路傳輸協議,而TechCrunch的一名熱心讀者,找到了另一款 Firefox擴充套件Force-TLS,可迫使這些網站使用HTTPS網路傳輸協議,因此使Firesheep無法察覺用戶cookies,藉此保護使用者登入資訊,並確保用戶登入社群網站時的安全連結,不過仍有部分像是Amazon.com等網站並不支援此安全選項,其他像是Facebook、 Twitter、和Google等主要網站,則是可允許HTTPS連結的。

Butler在他的公告中提到,他開發Firesheep的主要目的,在於披露出網站嚴重缺乏安全性的事實,希望能藉此讓這些網站警覺到,他們有保護用戶的責任,最終讓使用者受益。Facebook表示他們已在進行較安全的SSL測試,希望在未來幾個月內能提供成為另一傳輸選項,不過不論如何,用戶本身自己要注意,別隨意在未加密的WiFi上網,才能將此類資料外洩的傷害減到最小。
← 按讚加入粉絲團!
您需要登入後才可以回覆 登入 | 立即註冊 |

bottom

聯繫我們|手機版|就是酷資訊網 |

GMT+8, 2016-12-8 10:01 , Processed in 0.027707 second(s), 10 queries , Gzip On.

Powered by Discuz!
© 2008-2013 JustCool Inc.

回頂部