Firesheep (Firesheep)
| Firesheep | |
|---|---|
| Тип | Расширение браузера Firefox |
| Разработчик | Eric Butler |
| Операционные системы | MS Windows, Mac OS X, Linux |
| Языки интерфейса | английский |
| Первый выпуск | 24 октября 2010[2] |
| Последняя версия | 0.1-1[1] |
| Репозиторий | github.com/codebutler/fi… |
| Лицензия | GNU GPL 3 |
| Сайт | codebutler.com/firesheep… |
Firesheep — расширение браузера Firefox разработанное Eric Butler. Расширение использует сниффер пакетов для перехвата незашифрованных HTTP cookie популярных веб-сайтов, например Facebook и Twitter, передаваемых по сети. Таким образом оно позволяет перехватывать чужие сессии работы с сайтами. Полученные из сети сессии отображаются на боковой панели браузера, и пользователь может войти на сайт от имени другого пользователя путём двойного щелчка на его имени..[3]
Расширение было создано для демонстрации рисков безопасности, которые существуют, если веб-сайты используют шифрованное соединение лишь для проверки логина и пароля, и не шифруют HTTP cookie, используемые после аутентификации.[4] В некоторых странах использование этого расширения без согласия пользователей, чьи данные перехватываются, может являться преступлением. Несмотря на угрозу безопасности, которую создает расширение, представители сайта Mozilla Add-ons заявили что не собираются блокировать расширение, так как блокировка используется только в отношении spyware или дополнений, которые создают уязвимости в браузере, а не для блокировки «средств нападения» (attack tools), которые могут использоваться и легально (например, для проверки безопасности собственного компьютера).[5]
Позже было представлено сходное приложение Faceniff для телефонов с ОС Android.[6]
Противодействие
[править | править код]Существует несколько методов борьбы с использованием Firesheep в локальных сетях, например путём шифрования соединений. Оно может быть реализовано, например, при помощи протокола HTTPS[7], путём использования Виртуальной частной сети, или шифрованием беспроводных соединений.
HTTPS
[править | править код]VPN
[править | править код]Беспроводные сети
[править | править код]Расширения
[править | править код]
См. также
[править | править код]Примечания
[править | править код]- ↑ Butler, Eric Firesheep - codebutler. Дата обращения: 20 декабря 2010. Архивировано из оригинала 12 августа 2012 года.
- ↑ https://codebutler.com/2010/10/24/firesheep/
- ↑ Steve Gibson, Gibson Research Corporation. Security Now! Transcript of Episode #272. Grc.com. Дата обращения: 2 ноября 2010. Архивировано из оригинала 12 августа 2012 года.
- ↑ Firesheep Sniffs Out Facebook and Other User Credentials on Wi-Fi Hotspots. Lifehacker. Дата обращения: 28 октября 2010. Архивировано из оригинала 12 августа 2012 года.
- ↑ Keizer, Gregg Mozilla: No 'kill switch' for Firesheep add-on. Computer World. Дата обращения: 29 октября 2010. Архивировано из оригинала 12 августа 2012 года.
- ↑ Sniff and intercept web session profiles on Android. Help Net Security. Дата обращения: 2 июня 2011. Архивировано из оригинала 12 августа 2012 года.
- ↑ Seth Schoen. The Message of Firesheep: "Baaaad Websites, Implement Sitewide HTTPS Now!" (29 октября 2010). Дата обращения: 8 марта 2011. Архивировано 5 марта 2011 года.