abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Pwn2Own Ireland 2025
    včera 17:11 | IT novinky

    Proběhla hackerská soutěž Pwn2Own Ireland 2025. Celkově bylo vyplaceno 1 024 750 dolarů za 73 unikátních zranitelností nultého dne (0-day). Vítězný Summoning Team si odnesl 187 500 dolarů. Shrnutí po jednotlivých dnech na blogu Zero Day Initiative (1. den, 2. den a 3. den) a na YouTube.

    Ladislav Hagara | Komentářů: 1
    Novinky z vývoje Asahi Linuxu – říjen 2025 / Linux 6.17
    včera 13:33 | Komunita

    Byl publikován říjnový přehled dění a novinek z vývoje Asahi Linuxu, tj. Linuxu pro Apple Silicon. Pracuje se na podpoře M3. Zanedlouho vyjde Fedora Asahi Remix 43. Vývojáře lze podpořit na Open Collective a GitHub Sponsors.

    Ladislav Hagara | Komentářů: 0
    Projekt Patina, implementace UEFI firmwaru v Rustu
    25.10. 15:44 | Zajímavý software

    Iniciativa Open Device Partnership (ODP) nedávno představila projekt Patina. Jedná se o implementaci UEFI firmwaru v Rustu. Vývoj probíhá na GitHubu. Zdrojové kódy jsou k dispozici pod licencí Apache 2.0. Nejnovější verze Patiny je 13.0.0.

    Ladislav Hagara | Komentářů: 0
    Datacentra využívají pro napájení AI staré proudové motory
    25.10. 05:11 | Zajímavý článek

    Obrovská poptávka po plynových turbínách zapříčinila, že datová centra začala používat v generátorech dodávajících energii pro provoz AI staré dobré proudové letecké motory, konvertované na plyn. Jejich výhodou je, že jsou menší, lehčí a lépe udržovatelné než jejich průmyslové protějšky. Proto jsou ideální pro dočasné nebo mobilní použití.

    karkar | Komentářů: 7
    Typst 0.14
    24.10. 19:55 | Nová verze

    Typst byl vydán ve verzi 0.14. Jedná se o rozšiřitelný značkovací jazyk a překladač pro vytváření dokumentů včetně odborných textů s matematickými vzorci, diagramy či bibliografií.

    Ladislav Hagara | Komentářů: 0
    Malware se maskuje za aplikaci ČNB, útočníci pak pomocí NFC technologie vybírají peníze z bankomatů
    24.10. 13:33 | Bezpečnostní upozornění

    Specialisté společnosti ESET zaznamenali útočnou kampaň, která cílí na uživatele a uživatelky v Česku a na Slovensku. Útočníci po telefonu zmanipulují oběť ke stažení falešné aplikace údajně od České národní banky (ČNB) nebo Národní banky Slovenska (NBS), přiložení platební karty k telefonu a zadání PINu. Malware poté v reálném čase přenese data z karty útočníkovi, který je bezkontaktně zneužije u bankomatu nebo na platebním terminálu.

    Ladislav Hagara | Komentářů: 20
    Nefunkční automatická aktualizace Ubuntu 25.10
    24.10. 13:22 | Upozornění

    V Ubuntu 25.10 byl balíček základních nástrojů gnu-coreutils nahrazen balíčkem rust-coreutils se základními nástroji přepsanými do Rustu. Ukázalo se, že nový "date" znefunkčnil automatickou aktualizaci. Pro obnovu je nutno balíček rust-coreutils manuálně aktualizovat.

    Ladislav Hagara | Komentářů: 13
    VST 3 nově pod licencí MIT
    24.10. 04:55 | Komunita

    VST 3 je nově pod licencí MIT. S verzí 3.8.0 proběhlo přelicencování zdrojových kódů z licencí "Proprietary Steinberg VST3 License" a "General Public License (GPL) Version 3". VST (Virtual Studio Technology, Wikipedie) je softwarové rozhraní pro komunikaci mezi hostitelským programem a zásuvnými moduly (pluginy), kde tyto moduly slouží ke generování a úpravě digitálního audio signálu.

    Ladislav Hagara | Komentářů: 1
    Open 3D Engine (O3DE) 25.10
    24.10. 03:22 | Nová verze

    Open source 3D herní a simulační engine Open 3D Engine (O3DE) byl vydán v nové verzi 25.10. Podrobný přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Ubuntu Summit 25.10
    23.10. 20:11 | Komunita

    V Londýně probíhá dvoudenní Ubuntu Summit 25.10. Na programu je řada zajímavých přednášek. Zhlédnout je lze také na YouTube (23. 10. a 24. 10.).

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (36%)
     (48%)
     (20%)
     (20%)
     (23%)
     (17%)
     (21%)
     (17%)
     (18%)
    Celkem 276 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Zprávičky / Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Štítky: bezpečnost, Facebook, Firefox, prohlížeče, server, Yahoo

    Add-on pro Firefox odchytává cizí session-ID přes WiFi

    PcWorld.com píše o zajímavém add-onu pro Firefox, který uživatelům umožňuje odchytávat session-ID přes nešifrované WiFi. Pro návštěvníky klubů a barů s nabídkou nešifrovaného WiFi připojení to může být velmi nepříjemná zpráva. Add-on je přednastaven pro nejpopulárnější stránky jako je Facebook, Yahoo apod. Po odchycení session-ID je možno jednoduše oklamat server a používat danou službu zcela neomezeně jako majitel účtu, tedy např. psát příspěvky na Facebook, odesílat e-maily a podobně. V jiném článku se píše o jedné z možností ochrany.

    16.11.2010 21:12 | Amarok | Zajímavý software


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    16.11.2010 21:41 Jary | skóre: 30 | blog: Jary má blog | Dům
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Článek jsem nečetl, ale jistě bude stačit se po facebookování v kavárně od FB odhlásit. Session ID se tím určitě zinvalidní.
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky. GitHub
    Jendа avatar 16.11.2010 22:36 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Pokud nebude správce kavárny rychlejší a nestihne to zneužít už během sezení.

    Ale v kavárně je zbytečné sniffovat provoz, když tam rovnou můžeš dát keylogger.
    16.11.2010 22:25 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

    To už tu bylo před asi měsícem, ne?

    Amarok avatar 17.11.2010 09:40 Amarok | skóre: 33 | blog: blogoblog
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Pokud ano, tak pardon, zkousel jsem vyhledavani, aby se to nestalo a podobnou zpravu jsem nenasel.
    GNUniverse - May the source be with you...
    16.11.2010 23:34 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Boze, na to mi staci transparentni proxy. Naco instalovat nejaky add-on do firefoxu?
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    Jendа avatar 16.11.2010 23:43 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Ve skutečnosti stačí jenom pasivně poslouchat a pak si session naklonovat.

    Cílem projektu AFAIK ale bylo ukázat, že odposlouchávání WiFi sítí není jen doménou „elitních“ hackerů s nebezpečným OS GNU/Linuxem a teroristickými programy Kismet a tcpdump a upozornit tak lidi, že HTTPS se opravdu vyplatí.
    Amarok avatar 17.11.2010 09:26 Amarok | skóre: 33 | blog: blogoblog
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Presne tak, to je plugin pro normalni lidi, kterym se problematika ma nazorne ukazat pomoci programu, ktery vetsina lidi zna a pouziva (FF).
    GNUniverse - May the source be with you...
    16.11.2010 23:50 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Když už mám shell na serveru ve vlastní síti, tak tam rozhodně nebudu kopírovat nějakou http proxy vhodnou tak leda pro browser ale udělám si tam rovnou vpnku a je to.
    Jendа avatar 17.11.2010 00:04 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Nebo používat HTTPS… Třeba Facebook ho má, ale musí se tomu trochu pomoct (HTTPS-Everywhere od EFF). Stejně tak AbcLinuxu.
    Jaromír Svoboda avatar 17.11.2010 20:53 Jaromír Svoboda | skóre: 9 | blog: netblog
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Nebo používat HTTPS… Třeba Facebook ho má
    Jde v https připojeným facebooku chat na stránce? Mě ne, dole místo lišty s chatem je ikona výstražného trojúhelníku s popiskem "Chat není na této stránce povolen.", jinak v http verzi chat je funkční. Nefunkčnost chatu na stránce mi ale nevadí, mám na to v Pidginu XMPP účet facebooku s luxusem libnotify a lokální historií :-)
    Tom & Jerry: # cat /dev/input/mouse0
    Jendа avatar 17.11.2010 21:05 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Tak to netuším, FB nepoužívám. Jenom vím, že tam HTTPS šlo takhle zapnout.
    Jaromír Svoboda avatar 26.11.2010 13:03 Jaromír Svoboda | skóre: 9 | blog: netblog
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Tak už jsem zjistil, že nefunkční chat na FB v HTTPS verzi je známá chyba při používání doplňku HTTPS-Everywhere od EFF, píše se o tom na stránkách EFF ohledně 0.9.x verze doplňku. https://www.eff.org/https-everywhere
    Čeká se na to, až to FB opraví.
    Tom & Jerry: # cat /dev/input/mouse0
    17.11.2010 00:30 ElPraga
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Hm, ja treba mam shell na jednom stroji, ale VPN si tam asi nerozjedu. Me se to docela hodi..
    17.11.2010 00:23 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    V jiném článku se píše o jedné z možností ochrany.
    Základní možnost ochrany: pokud server neumožňuje SSL, nebudu se tam přihlašovat v internetové kavárně (nebo pravděpodobněji: nebudu se tam přihlašovat vůbec)
    Quando omni flunkus moritati
    17.11.2010 11:36 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Ono by úplně stačilo používat HTTP DIGEST autentizaci přes HTTP. Jenže to je moc jednoduché a účinné, takže nikdo z výrobců HTTP serverů i klientů nemá potřebu to implementovat dobře a uživatelsky přívětivě.
    18.11.2010 17:34 Libor Chocholaty | skóre: 12
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Coze? Mel jsem za to, ze tahle zakladni vec je normalne funkcni. Nikdy jsem se teda HTTP_DIGEST na apachi pouzit, ale ... vazne ne?
    18.11.2010 19:46 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Používal jsem HTTP DIGEST se serverem Jetty, a žádný problém jsem nezaznamenal. Pak server přešel na Apache, a na některých počítačích jsou problémy s MSIE. Těžko ale říct, v čem je problém. Já jsem zaznamenal, že MSIE se zeptá na heslo a pak HTTP hlavičku nepošle, ale v jiných případech mohl být problém v něčem jiném – tenkrát jsem se o problému na jiném počítači jen dozvěděl, dělo se to prý opakovaně, ale když jsem to chtěl zkoumat, spravilo se to samo. Další problém je v tom, jakým způsobem prohlížeče prezentují přihlašovací okno, často třeba chybí odlišení toho, co posílá server (a co by si měl uživatel kontrolovat), je to všechno nasypané do jedné věty. Snad ve všech prohlížečích pak chybí možnost odhlášení. Prostě je na tom vidět, že je to sice ve standardu, každý to nějak implementuje, aby si mohl udělat čárku, ale ve skutečnosti nikoho nezajímá, jestli to funguje a je to použitelné.
    17.11.2010 01:01 Jirka
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Takze v kolik je ten sraz na ruzynskem letisti? ;-)
    17.11.2010 11:06 Jakub Suchy | skóre: 22 | Praha
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Free wifi na ruzynskem letisti pro jistotu blokuje port 443, takze o to to bude jednodussi :) (Funguje tam pouze port 80, ani maily si clovek nestahne).
    Drupal
    vlastikroot avatar 17.11.2010 11:08 vlastikroot | skóre: 24 | blog: vlastikovo | Milevsko
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    By mě zajímalo, kterýho debila to napadlo :-D
    We will destroys the Christian's legion ... and the cross, will be inverted
    17.11.2010 16:12 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Na letišti se ve dne v noci bojuje za mír^w^wproti terorismu: šifrování používají teroristi → na letišti je třeba jej zakázat.
    Jendа avatar 17.11.2010 19:08 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    A pak objevili GNU httptunnel.
    gtz avatar 18.11.2010 00:03 gtz | skóre: 27 | blog: gtz | Brno
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Pokud mají dokonalý FW což myslím mají, pak to odmítne spojení. Pokud mají něco jako je Fortinet Firewall/Gate pak je to celkem na nic. Ty mašiny dokáží celkem hodně sofistikovaně prolézat protokoly a vše ostatní. Jak mi říkal známý i ICQ, který forwardoval přes 80 tak tam nechodilo.
    - nejhorší jsou trpaslíci ... Ti Vám vlezou úplně všude
    Jendа avatar 18.11.2010 00:21 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Ale ten HTTP tunnel by měl vypadat jako kdyby někdo lezl po webu a vyplňoval do formulářů různá data. Jediný rozdíl je ve kvantitě.
    18.11.2010 09:49 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Ale ten HTTP tunnel by měl vypadat jako kdyby někdo lezl po webu a vyplňoval do formulářů různá data. Jediný rozdíl je ve kvantitě.
    No, on takový html formulář s vyplněnými hlavičkami ostatních protokolů je také dost podezřelý :)
    18.11.2010 11:19 Mrkva | skóre: 22 | blog: urandom
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Tak ono není problém tohle pak případně šifrovat, že..
    We lived, we danced, we raced, we run, from the oblivion to come, Dressed for the last dance of a hundred thousand suns.
    18.11.2010 12:26 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    To sice ne, nicméně vememe-li v úvahu, že máme wifi hotspot pro BFU, tak rozpoznat od sebe HTML stránky s textem a HTTP posty plné nesmyslného balastu nebude pořád až tak moc těžké... prostě ve chvíli kdy ten fw začne koukat i dovnitř, tají se to podstatně hůře...
    gtz avatar 18.11.2010 12:50 gtz | skóre: 27 | blog: gtz | Brno
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    a ty mašiny se dívají hodně dovnitř. Dokáží i takové prasárny jako číst IM komunikaci bez problémů.
    - nejhorší jsou trpaslíci ... Ti Vám vlezou úplně všude
    AsciiWolf avatar 17.11.2010 11:32 AsciiWolf | skóre: 41 | blog: Blog
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    lol :-D
    17.11.2010 15:29 xurfa
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    No, stejně nechápu jednu věc a sice, proč naprostá většina webů nemění "session-id" po každém kliknutí?
    17.11.2010 16:18 Jary | skóre: 30 | blog: Jary má blog | Dům
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Nevim. Kvůli tlačítku Zpět? Když se stiskne Zpět, tak se imho pošle úplně stejný požadavek, jako před chvílí. Se starým SID by mě to vyhodilo.

    Navíc, proč to dělat? Čemu to pomůže?
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky. GitHub
    18.11.2010 00:07 Blut
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Pokud mas napriklad session ID v odkazech, nemuzes odkaz otevrit v dalsim okne/tabu a pokracovat dal v puvodnim (popr. dve a vice dalsich oken/tabu), protoze v tu chvili uz bys odesilal neplatne session ID, coz jde ponekud proti smyslu hypertextu.

    Samozrejme, session ID v URL je trosku problematicke, protoze se muze s referrerem dostat ven, ale session ID v cookies take, i kdyz opacnym zpusobem; muze se dostat dovnitr s podvrzenym linkem, napriklad kdyz nekdo na foru postne obrazek a jako src uvede link na logout.

    Navic, dynamicke session ID ti moc nepomuze, slidil by mohl stejne dobre odchytit session ID z odezvy serveru (tj. platne) jako z zadosti (tj. uz neplatne). Jen si vsimnes, kdyz ho zacne pouzivat (odlogne te).
    pavlix avatar 20.11.2010 01:34 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    No, stejně nechápu jednu věc a sice, proč naprostá většina webů nemění "session-id" po každém kliknutí?
    Spoustu věcí by to rozbilo, například prohlížení v tabech.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    17.11.2010 22:28 Zdeněk
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Inu, tohle až se dostane na Lupu, Živě a dál do vod pubescentní mládeže (už dostatečně obeznámené s instalací doplňku do firefoxu), to bude divočina:).

    Toga - Nakreslete si Hitlera
    18.11.2010 11:02 Matlák
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Tohle je známý problém. Zvláště úsměvné je to v případě facebooku, který nechává většina uživatelů laptopů přihlášený neustále, čili session ID je stále platné...

    Ten addon jsem nezkoušel, nedávno kolem něj byl velký humbuk ale to ještě neexistovala verze pro linux. Ovšem například wireshark a pokročilý editor cookies ve FF dokáže to samé, a jako bonus je možné odchytit opravdu jakoukoli službu, ne jen tu kterou firesheep zná... hrál jsem si s tím už dávno..
    18.11.2010 11:06 Matlák
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    jinak je jasné, že hlavní problém v tomto případě je IPv4/NAT :-) prostě server nemůže rozlišovat podle IP... já osobně už celá léta (po tom co jsem si tyhle "vychytávky" vyzkoušel ve školních WiFi sítích) používám minimálně dynamický SSH tunel či (častěji) rovnou VPN.
    18.11.2010 11:11 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Podle IP by server neměl rozlišovat nikdy, IP adresa se může měnit. Hlavní problém je, že se pro autentizaci používají cookie, když přitom protokol HTTP má definovánu bezpečnou metodu autentizace (HTTP DIGEST).
    18.11.2010 23:32 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Podle IP by server neměl rozlišovat nikdy, IP adresa se může měnit.
    Tak teoreticky se ta IP nebude měnit tak často, takže když se právoplatný uživatel bude muset přihlásit při změně, nebude to pro něj tak velká zátěž. Čistě prakticky tu máme GPRS a spol., kde se IP mění dokonce snad podle toho, s jakou BTS si telefon povídá (jistě to nevim, ale rozhodně se mění často)
    Hlavní problém je, že se pro autentizaci používají cookie, když přitom protokol HTTP má definovánu bezpečnou metodu autentizace (HTTP DIGEST).
    Protokol HTTP se dá zašifrovat pomocí SSL a kdyby lidi nezdržovali s přechodem na IPv6, nebylo by potřeba řešit nic jiného.
    Quando omni flunkus moritati
    Jendа avatar 19.11.2010 00:56 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Tak teoreticky se ta IP nebude měnit tak často, takže když se právoplatný uživatel bude muset přihlásit při změně, nebude to pro něj tak velká zátěž. Čistě prakticky tu máme GPRS a spol., kde se IP mění dokonce snad podle toho, s jakou BTS si telefon povídá (jistě to nevim, ale rozhodně se mění často)
    Tak BTS se může při pohybu v autobuse nebo vlaku měnit třeba každou půlminutu. Ale podle mě když už se mění, tak by se měla měnit s opuštěním svazku buněk řízených jedním BSC, ale o GSM toho zas tak moc nevím. Nicméně i tak to může být klidně každých pět minut. Takže proč znepříjemňovat uživateli život, když je efekt na bezpečnost nulový? To je jak s těmi aplikačními firewally, změnou hesla každé dva měsíce nebo zakazováním přihlášení na roota - když to tak otravuje, tak to určitě musí zvyšovat bezpečnost, ne snad?
    Jendа avatar 19.11.2010 01:01 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Ještě k tomu IPv6 - nemyslím si, že by třeba Facebook nebo Seznam e-mail běžely na sdílené IP(v4) s jinými weby. Přesto se muselo (nevím, jak teď) HTTPS explicitně vynutit.

    A ani u sdílených hostingů na té jedné IP podle mě dost často neběží ani alespoň ten jeden HTTPS host. Jestli to nebude spíš o lenosti než o nedostatku IP…
    19.11.2010 09:15 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Ono s SSL je to také trochu těžké... autority, které své certifikáty už protlačili alespoň někam, z toho mají dobrý byznys a každý přiblblý certifikát stojí fúru peněz... pravda, u věcí jako seznam nebo facebook je to šumák, u menších webů už zase tolik ne... jak mi tak přišlo, tak dobrý byznys z toho mají i autoři sw, co to používá, takže takové protlačení cacertu taky není úplně jednoduché. No a když se použije certifikát, jehož CA není přítomno v systému uživatele? Většina se pak na nějaký import CA (natož nějaké další ověřování) vykašle a přidá si výjimku... čímž se celý bezpečnostní efekt SSL ztrácí...
    Jendа avatar 19.11.2010 13:48 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Tak třeba StartCom už má své certifikáty leckde.

    Nicméně přijde mi lepší šifrovat i v případě, kdy nemůžeme ověřit identitu druhé strany. MitM útok je přeci jen složitější než prostý odposlech a oběť se o tom po skončení útoku alespoň dozví.
    19.11.2010 14:46 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Proč by se o tom oběť měla dozvědět? Do porovnávání složitosti MitM útoku a odposlechu bych se taky nepouštěl, záleží na okolnostech. Pro odposlech potřebujete přístup k trase mezi obětí a původním serverem (třeba zachycení WiFi komunikace), MitM můžete udělat třeba posláním falešné DNS odpovědi, což můžete udělat z druhého konce světa. Takže by se dalo říct i to, že MitM je jednodušší než odposlech…
    Jendа avatar 19.11.2010 15:09 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Proč by se o tom oběť měla dozvědět?
    Protože jí prohlížeč zařve, že se změnil certifikát protistrany, ne?
    vlastikroot avatar 19.11.2010 15:13 vlastikroot | skóre: 24 | blog: vlastikovo | Milevsko
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Jako by někdo ty certifikáty řešil :-D Většinou to lidi odkliknou a neřešej.
    We will destroys the Christian's legion ... and the cross, will be inverted
    19.11.2010 21:31 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Prohlížeč neřeší změnu certifikátu. Zkoumá jenom to, zda certifikát podepsala některá z autorit, které má v seznamu důvěryhodných.
    20.11.2010 11:49 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Řekl bych že řeší... tedy ve chvíli, kdy CA pro certifikát není dostupný a uživatel odklikne tu výjimku, tak si to pamatuje jen ten konkrétní certifikát a na změnu to přijde...
    20.11.2010 11:58 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Záleží na prohlížeči. Každopádně pokud uživatel potvrdí důvěryhodnost nějakého pochybného certifikátu, je problém především v tom. Myslím, že pak klidně odklikne i hlášku o tom, že se certifikát změnil.
    19.11.2010 11:00 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Prakticky se ta IP adresa může měnit s každým spojením, takže se uživatel ani nepřihlásí. Kontrola IP adresy je typický příklad chybného zabezpečení – útočníkovi to v ničem nezabrání, jenom to otravuje uživatele.
    Jendа avatar 18.11.2010 13:42 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    A že si s tou IP fakt pomůže… Uživatele by to akorát štvalo při cestování mezi sítěmi a útočník si po odpojení uživatele jeho adresu klidně nastaví.
    18.11.2010 15:10 Matlák
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    jo, to je fakt.. mnohem lepším řešením by byl zmiňovaný http/digest nebo rovnou ssl. Spíš jsem myslel to že z pohledu serveru je útočník na wifi a oběť jeden stroj- není možné určit ze kterého stroje byla autentizace heslem provedena (pokud vůbec byla, pravda, uživatelé jsou líní se odhlašovat a přihlašovat)
    18.11.2010 15:20 imploder | skóre: 11
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Není zatím verze pro Linux. Není náhodou potřeba na to pustit Firefox s právama adminitrátora (kvůli libpcap)? Nicméně zprávička je to zajímavá. Je dobré vědět, že odteď mi kdejaká lama může pohodlně krást nešifrované sessiony.

    Založit nové vláknoNahoru


    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.