Firefox-udvidelse gør det nemt at stjæle login-informationer

NICE :-)

For at undgå selv at blive udsat for Firesheep, kan man benytte sig af udvidelser til sin browser, som gennemtvinger SSL-kryptering på alle sider, hvor det er muligt.

'
Det er så bare slet slet ikke muligt på alle sider.....

Surprise- hvis man bruger et ikke krypteret netværk med onde brugere kan de snuppe ens sessions cookies hvis siden ikke bruger SSL.

I andre nyheder: Vand er vådt

Så en firefox extension kan sætte et netkort i promiscuous mode?
(leger med tanker om andre mindre fine extensions man kan lave :D)

Og hvorfor går man så ikke i skole mere? Øv.

#4 fordi du forhåbentlig blev for klog til at gøre den slags..

Det virker foruroligende godt :/
Jeg tog et tjek til en forelæsning (Jeg vil dog sige at jeg ikke misbruger det. ) og fik et sted mellem 15-30 facebook accounts plus en masse andet gøjl. Rigtig skidt hvis nogen misbruger det.

En løsning er vel at bruge https

Så overvejer jeg hvad der sker når dette program spreder sig til landets skoler/gymnasier/universiteter og diverse uønskede Facebook statusser, MSN-beskeder og emails flyver rundt om hovedet på folk.

#7
tænker helt det samme. Det her kan nemt gå galt.

#7 hvad er problemet, den kan jo reelt intet nyt.. Alt sammen noget du i forvejen kan.. nu bare også i firefox.. men godt hvis det hjælper folk til at være mere opmærksomme på det...

Det #2 siger vil jeg gerne have uddybet lidt; er et trådløst lokal netværk med WPA2 så krypteret for de andre, eller er det kun for dem udefra? Tænker på om de andre på det trådløse også kan anvende dette?

Er jeg den eneste, der gerne vil kende navnet paa den add-on, der tvinger siderne til ssl? Og ville en krypteret VPN ikke loese selvsamme problem?

#9
Noget nyt ? Nej det er der ikke, men det her er blevet en trin mere mainstream. Enhver kan gå ind og tracke login på den her måde.

#11

'HTTPS Everywhere' eller 'Force-TLS'

Er der nogen der ved om der er en go grund til at man kan lave en HTTPS forbindelse til facebook.com men ikke til facebook.dk

#13
Facebook.dk redirecter til http://da-dk.facebook.com/ for mig.

Kender du lignende plugins til chrome?

#14

Jeg har kun selv lige fundet dem men jeg syntes da at jeg så et sted at en af dem virkede til chrome :/

#7 hvad er problemet, den kan jo reelt intet nyt.. Alt sammen noget du i forvejen kan.. nu bare også i firefox.. men godt hvis det hjælper folk til at være mere opmærksomme på det...webwarp (#9)

At det før har kunnet lade sig gøre er en ting, men at gøre det som nemt så at du bare skal installere et AddOn til FireFox og trykke "Start Capturing" og så ellers dobbeltklikke på den profil du gerne vil logge ind på er noget helt andet.

Alle på IBA i Kolding hvor jeg går bliver opfordret til at FireFox fordi deres elearning's system åbenbart ikke kan overføre filer under andre browsere, så folk har det allerede på deres computere.

Det her AddOn gør det for nemt og mainstream som #12 siger.

Nåeh, så må jeg ha' mit USB kabel med i skole i morgen.
Så jeg kan tether min iPhones Wi-Fi til min PC..

Efter hvad jeg har prøvet, så virker det ikke særlig godt.

#17 og det hjælper dig lige hvordan..?

#19
Skal jeg ikke kunne sige. Men det virker.

Som #3 skriver, skal ethernet-kortet så ikke være i promiscuous-mode før man kan hijacke en connection? Siden hvornår har FF-extensions kunnet elevere privillegier? (Alternativet er at køre hele browseren som root, men det er jo direkte dumt)

#17 og #19 Jeg går ud fra at #17 mener at han vil tether hans iPhones mobile bredbånd til hans computer. Det ville jo løse problemet, hvis han da krypterer hans Wi-Fi forbindelse mellem hans telefon og hans computer.

wifi tethering må ikke bruges på SDU Odense's område, og deres standard wifi er ikke krypteret, damn jeg glæder mig til forelæsninger imorgen :D

Giver det ikke lidt problemer over trådløst ? Nu har jeg før leget lidt med Cain, som virker super nemt over ethernet, men når det er wireless, så er det ikke alle netkort der er lige gode til det. Hvor godt virker det for den normale bruger, hvis man fx. vil gøre det på en skole, og man kun sidder på vha. wireless?

Er jeg den eneste der ikke kan få det til at virke i FF 3.6@Win 7 32 bit? Jeg kan slet ikke installere det..

#22
Hovsa! Ja min 3g/edge forbindelse.
Og hvis det sker via usb behøver jeg jo ikke kryptere mit Wi-Fi da jeg ikke bruger det. I princippet kan jeg slå det fra.

Er jeg den eneste der ikke kan få det til at virke i FF 3.6@Win 7 32 bit? Jeg kan slet ikke installere det..zacho (#24)

Du skal bare åbne .xpi filen med FireFox så spørger den om du vil installere dette AddOn. Husk desuden Winpcap først. Drag'n'drop eller bruge "Åbn med" menuen.

#26, synes jeg har prøvet som du siger, og jeg har Winpcap inde, da jeg bruger det samme med Cain mm..

Jeg får følgende fejl når jeg forsøger at installere den:
Firesheep 0.1 kunne ikke installeres da det ikke er kompatibel med Firefox 3.6.8

Husk desuden Winpcap førstMakeybussines (#26)

Hah, det var den jeg manglede!

Min mor hader mig nu.. mwuahaha

Nej, det virker ikke specielt godt. Trafik skal sendes til din computer for at du kan opsnappe det, og på et switched netværk sker dette ikke.

Men... Må indrømme at det virker ganske fortrinligt kombineret med lidt ARP poisoning, selv på krypterede trådløse og switchede netværk :D

Nu skal jeg lige høre. Jeg sidder regelmæssigt på et trådløst netværk delt med mange andre, hvor netværket er WPA-krypteret - vil dette trick i så fald stadig kunne lade sig gøre? I så fald skal jeg vist til at køre fast med en VPN-tunnel åben.

Både og- andre brugere der er tilsluttet kan ikke dekryptere din traffik- men ejeren af den trådløse router kan.

Skræmmende nok, hvis det virkelig er så let tilgængeligt.. :/

Synes dog heller ikke at kunne få det til at virke herhjemme. Hverken på stationær eller bærbar. Har winpcap installeret.

Installerer problem og plugin fint. Kan se den i firefox, men der kommer ingen "tab" op med funktionen.

#32, prøv at gå op i View->Sidebar også skulle du gerne kunne vælge Firesheep... Men jeg kan heller ikke få det til at virke på min bærbar. Får fejl, når jeg går ind i indstillinger for Firesheep.

#33 Tak :) Fandt det selv ved at søge lidt, men der var den jo. Skræmmende nok! Det er da til at føle på.

Skal det være et helt åbent netværk for at virke? Eller burde det virke på mit gamle WEP beskyttede WiFi?

Dette angreb- med kun dette addon vil ikke virke med WEP- men det kan tilpasses så det vil virke med WEP.

Så er det sku slut med at hænge på diverse fora i arbejdstiden. Der skal nok være en data lærling på netværket med dette værktøj :-/

Kender du lignende plugins til chrome?Mr_Mo (#14)

Yeps. En kammerat har lavet den her:

KB SSL Enforcer.

Den får gode ratings inde på Google Code.

Er det fordi WiFi virker som et hubbed netværk, at man ikke behøver lave arp-poisoning for at få dette til at virke?

Ja Wifi er hub...

Lige for at gøre det klart:

Det kræver at du har pcap installeret (er som standard på Ubuntu og Mac OS X – hent Winpcap, til Windows)
Du skal have et trådløst netværkskort der kan sidde i passive mode, hvilket vil sige at det kan lytte til alt data der sendes frem og tilbage imellem Accesspoint/router og andre bærbare enheder. De fleste netværkskort understøtter dette.
Du skal være tilsluttet det netværk du gerne vil “sniffe” oplysninger fra.
Det virker både med åbent netværk, WEP-krypteret netværk samt WPA (1 og 2) Personal.

Hvis din arbejsplads/skole bruger WPA Enterprise (med en RADIUS-server), så vil dette ikke virke for dig.

Den eneste måde at gardere sig imod at andre opfanger oplysninger, er at bruge SSL (og det kan være svært. Bare det at der er en “I Like”-knap gør at der laves en normal forbindelse til Facebook) eller at kører med kabel.

Edit:
Du kan selvfølgelig ødelægge den opfangede session, ved at logge dig ud af hjemmesiderne, så husk at log af Facebook/Twitter og brug ikke en Facebook eller Twitter-klient på din smartphone (de bliver også nappet – i hvertfald med “Twitter for iPhone”).

#41 Hvad med VPN, vil en sådanne forhindre folk på det trådløse netværk i at opfange ens data?

#42:
Nåja, en VPN eller SSH-tunnel vil også forhindre folk i et opfange dataen.

Efter lidt testing:
Den fanger snildt, uden yderligere arbejde fra min side af andet end at installere det, Facebook/Twitter/Google Accounts på min skoles trådløse, i hvert fald dem som sidder på den samme trådløse station.

Noget andet jeg har lagt mærke til: Addons som KB SSL Enforcer hjælper IKKE hvis man bare går ind på www.facebook.com og har sat den til automatisk at logge ind, da den først besøger Facebook, logger ind og derefter skifter til HTTPS. Så sørg for at ændre bookmarks, ryd din historik og besøg disse sider via HTTPS, ellers er dine logindata stadig ikke sikrede.

Noget helt andet, kan vi få en sikker udgave af newz.dk?

#45 Har du prøvet med https://newz.dk ??

#45
https://secure.newz.dk/

#45 Har du prøvet med https://newz.dk ??scaarup (#46)

Giver en sikkerhedsadvarsel.

#45
https://secure.newz.dk/Mr_Mo (#47)

Chrome viser normalt en fin lille grøn hængelås når jeg er inde på en 'sikker' side, denne fremkommer ikke når jeg besøger secure.newz.dk som bare sender mig videre til newz.dk.

#48
Det skal være httpS og ikke http, ellers bliver du sendt til newz.dk

Jeg får ikke den grønne hængelås, da andre ressourcer på siden ikke er sikre (jeg ved ikke hvilke der er og hvilke der ikke er), men Chrome siger at selve forbindelsen er krypteret med AES_256_CBC med SHA1 og DHE_RSA og identiteten er bekræftet af Equifax Secure Global eBusiness CA-1.

Så den er vel bedre end ingenting?