mboost-dp1
Eric Butler
Surprise- hvis man bruger et ikke krypteret netværk med onde brugere kan de snuppe ens sessions cookies hvis siden ikke bruger SSL.
I andre nyheder: Vand er vådt
I andre nyheder: Vand er vådt
Er jeg den eneste, der gerne vil kende navnet paa den add-on, der tvinger siderne til ssl? Og ville en krypteret VPN ikke loese selvsamme problem?
#13
Facebook.dk redirecter til http://da-dk.facebook.com/ for mig.
Kender du lignende plugins til chrome?
Facebook.dk redirecter til http://da-dk.facebook.com/ for mig.
Kender du lignende plugins til chrome?
webwarp (9) skrev:#7 hvad er problemet, den kan jo reelt intet nyt.. Alt sammen noget du i forvejen kan.. nu bare også i firefox.. men godt hvis det hjælper folk til at være mere opmærksomme på det...
At det før har kunnet lade sig gøre er en ting, men at gøre det som nemt så at du bare skal installere et AddOn til FireFox og trykke "Start Capturing" og så ellers dobbeltklikke på den profil du gerne vil logge ind på er noget helt andet.
Alle på IBA i Kolding hvor jeg går bliver opfordret til at FireFox fordi deres elearning's system åbenbart ikke kan overføre filer under andre browsere, så folk har det allerede på deres computere.
Det her AddOn gør det for nemt og mainstream som #12 siger.
Giver det ikke lidt problemer over trådløst ? Nu har jeg før leget lidt med Cain, som virker super nemt over ethernet, men når det er wireless, så er det ikke alle netkort der er lige gode til det. Hvor godt virker det for den normale bruger, hvis man fx. vil gøre det på en skole, og man kun sidder på vha. wireless?
Er jeg den eneste der ikke kan få det til at virke i FF 3.6@Win 7 32 bit? Jeg kan slet ikke installere det..
Er jeg den eneste der ikke kan få det til at virke i FF 3.6@Win 7 32 bit? Jeg kan slet ikke installere det..
zacho (24) skrev:Er jeg den eneste der ikke kan få det til at virke i FF 3.6@Win 7 32 bit? Jeg kan slet ikke installere det..
Du skal bare åbne .xpi filen med FireFox så spørger den om du vil installere dette AddOn. Husk desuden Winpcap først. Drag'n'drop eller bruge "Åbn med" menuen.
Nej, det virker ikke specielt godt. Trafik skal sendes til din computer for at du kan opsnappe det, og på et switched netværk sker dette ikke.
Men... Må indrømme at det virker ganske fortrinligt kombineret med lidt ARP poisoning, selv på krypterede trådløse og switchede netværk :D
Men... Må indrømme at det virker ganske fortrinligt kombineret med lidt ARP poisoning, selv på krypterede trådløse og switchede netværk :D
Både og- andre brugere der er tilsluttet kan ikke dekryptere din traffik- men ejeren af den trådløse router kan.
Skræmmende nok, hvis det virkelig er så let tilgængeligt.. :/
Synes dog heller ikke at kunne få det til at virke herhjemme. Hverken på stationær eller bærbar. Har winpcap installeret.
Installerer problem og plugin fint. Kan se den i firefox, men der kommer ingen "tab" op med funktionen.
Synes dog heller ikke at kunne få det til at virke herhjemme. Hverken på stationær eller bærbar. Har winpcap installeret.
Installerer problem og plugin fint. Kan se den i firefox, men der kommer ingen "tab" op med funktionen.
Dette angreb- med kun dette addon vil ikke virke med WEP- men det kan tilpasses så det vil virke med WEP.
Mr_Mo (14) skrev:Kender du lignende plugins til chrome?
Yeps. En kammerat har lavet den her:
KB SSL Enforcer.
Den får gode ratings inde på Google Code.
Lige for at gøre det klart:
Det kræver at du har pcap installeret (er som standard på Ubuntu og Mac OS X – hent Winpcap, til Windows)
Du skal have et trådløst netværkskort der kan sidde i passive mode, hvilket vil sige at det kan lytte til alt data der sendes frem og tilbage imellem Accesspoint/router og andre bærbare enheder. De fleste netværkskort understøtter dette.
Du skal være tilsluttet det netværk du gerne vil “sniffe” oplysninger fra.
Det virker både med åbent netværk, WEP-krypteret netværk samt WPA (1 og 2) Personal.
Hvis din arbejsplads/skole bruger WPA Enterprise (med en RADIUS-server), så vil dette ikke virke for dig.
Den eneste måde at gardere sig imod at andre opfanger oplysninger, er at bruge SSL (og det kan være svært. Bare det at der er en “I Like”-knap gør at der laves en normal forbindelse til Facebook) eller at kører med kabel.
Edit:
Du kan selvfølgelig ødelægge den opfangede session, ved at logge dig ud af hjemmesiderne, så husk at log af Facebook/Twitter og brug ikke en Facebook eller Twitter-klient på din smartphone (de bliver også nappet – i hvertfald med “Twitter for iPhone”).
Det kræver at du har pcap installeret (er som standard på Ubuntu og Mac OS X – hent Winpcap, til Windows)
Du skal have et trådløst netværkskort der kan sidde i passive mode, hvilket vil sige at det kan lytte til alt data der sendes frem og tilbage imellem Accesspoint/router og andre bærbare enheder. De fleste netværkskort understøtter dette.
Du skal være tilsluttet det netværk du gerne vil “sniffe” oplysninger fra.
Det virker både med åbent netværk, WEP-krypteret netværk samt WPA (1 og 2) Personal.
Hvis din arbejsplads/skole bruger WPA Enterprise (med en RADIUS-server), så vil dette ikke virke for dig.
Den eneste måde at gardere sig imod at andre opfanger oplysninger, er at bruge SSL (og det kan være svært. Bare det at der er en “I Like”-knap gør at der laves en normal forbindelse til Facebook) eller at kører med kabel.
Edit:
Du kan selvfølgelig ødelægge den opfangede session, ved at logge dig ud af hjemmesiderne, så husk at log af Facebook/Twitter og brug ikke en Facebook eller Twitter-klient på din smartphone (de bliver også nappet – i hvertfald med “Twitter for iPhone”).
#41 Hvad med VPN, vil en sådanne forhindre folk på det trådløse netværk i at opfange ens data?
Efter lidt testing:
Den fanger snildt, uden yderligere arbejde fra min side af andet end at installere det, Facebook/Twitter/Google Accounts på min skoles trådløse, i hvert fald dem som sidder på den samme trådløse station.
Noget andet jeg har lagt mærke til: Addons som KB SSL Enforcer hjælper IKKE hvis man bare går ind på www.facebook.com og har sat den til automatisk at logge ind, da den først besøger Facebook, logger ind og derefter skifter til HTTPS. Så sørg for at ændre bookmarks, ryd din historik og besøg disse sider via HTTPS, ellers er dine logindata stadig ikke sikrede.
Den fanger snildt, uden yderligere arbejde fra min side af andet end at installere det, Facebook/Twitter/Google Accounts på min skoles trådløse, i hvert fald dem som sidder på den samme trådløse station.
Noget andet jeg har lagt mærke til: Addons som KB SSL Enforcer hjælper IKKE hvis man bare går ind på www.facebook.com og har sat den til automatisk at logge ind, da den først besøger Facebook, logger ind og derefter skifter til HTTPS. Så sørg for at ændre bookmarks, ryd din historik og besøg disse sider via HTTPS, ellers er dine logindata stadig ikke sikrede.
scaarup (46) skrev:#45 Har du prøvet med https://newz.dk ??
Giver en sikkerhedsadvarsel.
Mr_Mo (47) skrev:#45
https://secure.newz.dk/
Chrome viser normalt en fin lille grøn hængelås når jeg er inde på en 'sikker' side, denne fremkommer ikke når jeg besøger secure.newz.dk som bare sender mig videre til newz.dk.
#48
Det skal være httpS og ikke http, ellers bliver du sendt til newz.dk
Jeg får ikke den grønne hængelås, da andre ressourcer på siden ikke er sikre (jeg ved ikke hvilke der er og hvilke der ikke er), men Chrome siger at selve forbindelsen er krypteret med AES_256_CBC med SHA1 og DHE_RSA og identiteten er bekræftet af Equifax Secure Global eBusiness CA-1.
Så den er vel bedre end ingenting?
Det skal være httpS og ikke http, ellers bliver du sendt til newz.dk
Jeg får ikke den grønne hængelås, da andre ressourcer på siden ikke er sikre (jeg ved ikke hvilke der er og hvilke der ikke er), men Chrome siger at selve forbindelsen er krypteret med AES_256_CBC med SHA1 og DHE_RSA og identiteten er bekræftet af Equifax Secure Global eBusiness CA-1.
Så den er vel bedre end ingenting?
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund