Este tutorial mostra como roubar senhas e invadir contas do Facebook, com extensão do Firefox chamada Firesheep.
Etapa 1:
Instalar extensão do Firefox Firesheep a partir da página oficial: http://codebutler.github.com/firesheep/
Passo 2:
Depois de instalar a extensão que você verá uma nova barra lateral. Conectar a qualquer rede wifi aberta e movimentada clique no grande "Iniciar Captura" botão. Então espere.
Passo 3:
Assim como qualquer pessoa na rede visita um site inseguro conhecido Firesheep, seu nome e sua foto será exibida:
Passo 4:
Dê um duplo clique em alguém, e você instantaneamente conectado como eles.
É isso aí.
Pouca informação sobre o fundo
Quando fizer o login em um site que costuma começar por enviar o seu nome de usuário e senha. O servidor então verifica se uma conta que atendam essa informação existe e, nesse caso, as respostas de volta para você com um "cookie" que é utilizado por seu navegador para todas as solicitações subseqüentes.
É extremamente comum para websites para proteger sua senha criptografando o login inicial, mas surpreendentemente incomum para sites para criptografar todo o resto. Isso deixa o bolinho (e utilizador) vulneráveis. HTTP seqüestro de sessão (às vezes chamado de "sidejacking") é quando um invasor obtém a autorização do cookie do usuário, permitindo-lhes fazer qualquer coisa que o usuário pode fazer em um determinado site. Em uma rede wireless aberta, os cookies são, basicamente, gritou através do ar, fazendo com que esses ataques extremamente fácil.
Este é um problema amplamente conhecido que tem sido falado sobre a morte, mas sites muito populares continuam a falhar na protecção dos seus utilizadores. A correção só é eficaz para esse problema está cheio end-to-end encryption, conhecido na web como HTTPS ou SSL. Facebook está constantemente lançando novos "privacidade" recursos em uma tentativa sem fim para acabar com os gritos de usuários insatisfeitos, mas qual é o momento em que alguém pode simplesmente assumir uma conta por completo? Twitter obrigado a todos os desenvolvedores de terceiros para usar OAuth logo em seguida lançado (e promovido) uma nova versão de seu site inseguro. Quando se trata da privacidade do usuário, o SSL é o elefante na sala.
Etapa 1:
Instalar extensão do Firefox Firesheep a partir da página oficial: http://codebutler.github.com/firesheep/
Passo 2:
Depois de instalar a extensão que você verá uma nova barra lateral. Conectar a qualquer rede wifi aberta e movimentada clique no grande "Iniciar Captura" botão. Então espere.
Passo 3:
Assim como qualquer pessoa na rede visita um site inseguro conhecido Firesheep, seu nome e sua foto será exibida:
Passo 4:
Dê um duplo clique em alguém, e você instantaneamente conectado como eles.
É isso aí.
Pouca informação sobre o fundo
Quando fizer o login em um site que costuma começar por enviar o seu nome de usuário e senha. O servidor então verifica se uma conta que atendam essa informação existe e, nesse caso, as respostas de volta para você com um "cookie" que é utilizado por seu navegador para todas as solicitações subseqüentes.
É extremamente comum para websites para proteger sua senha criptografando o login inicial, mas surpreendentemente incomum para sites para criptografar todo o resto. Isso deixa o bolinho (e utilizador) vulneráveis. HTTP seqüestro de sessão (às vezes chamado de "sidejacking") é quando um invasor obtém a autorização do cookie do usuário, permitindo-lhes fazer qualquer coisa que o usuário pode fazer em um determinado site. Em uma rede wireless aberta, os cookies são, basicamente, gritou através do ar, fazendo com que esses ataques extremamente fácil.
Este é um problema amplamente conhecido que tem sido falado sobre a morte, mas sites muito populares continuam a falhar na protecção dos seus utilizadores. A correção só é eficaz para esse problema está cheio end-to-end encryption, conhecido na web como HTTPS ou SSL. Facebook está constantemente lançando novos "privacidade" recursos em uma tentativa sem fim para acabar com os gritos de usuários insatisfeitos, mas qual é o momento em que alguém pode simplesmente assumir uma conta por completo? Twitter obrigado a todos os desenvolvedores de terceiros para usar OAuth logo em seguida lançado (e promovido) uma nova versão de seu site inseguro. Quando se trata da privacidade do usuário, o SSL é o elefante na sala.
