abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Bezpečnostní problém Snapu (CVE-2026-3888)
    dnes 04:00 | Bezpečnostní upozornění

    Byly publikovány informace (technické detaily) o bezpečnostním problému Snapu. Jedná se o CVE-2026-3888. Neprivilegovaný lokální uživatel může s využitím snap-confine a systemd-tmpfiles získat práva roota.

    Ladislav Hagara | Komentářů: 0
    Karaoke aplikace Nightingale
    dnes 03:33 | Zajímavý software

    Nightingale je open-source karaoke aplikace, která z jakékoliv písničky lokálního alba (včetně videí) dokáže oddělit vokály, získat text a vše přehrát se synchronizací na úrovni jednotlivých slov a hodnocením intonace. Pro separaci vokálů využívá UVR Karaoke model s Demucs od Mety, texty písní stahuje z lrclib.net (LRCLIB), případně extrahuje pomocí whisperX, který rovněž využívá k načasování slov. V případě audiosouborů aplikace na

    … více »
    NUKE GAZA! 🎆 | Komentářů: 0
    GNOME 50
    včera 18:22 | Nová verze

    Po půl roce vývoje od vydání verze 49 bylo vydáno GNOME 50 s kódovým názvem Tokyo (Mastodon). Podrobný přehled novinek i s náhledy v poznámkách k vydání a v novinkách pro vývojáře.

    Ladislav Hagara | Komentářů: 3
    Fedora Asahi Remix 43
    včera 17:22 | Nová verze

    Článek na stránkách Fedora Magazinu informuje o vydání Fedora Asahi Remixu 43, tj. linuxové distribuce pro Apple Silicon vycházející z Fedora Linuxu 43.

    Ladislav Hagara | Komentářů: 0
    Installfest 2026 – zveřejněn program konference
    včera 13:33 | Pozvánky

    Byl zveřejněn program konference Installfest 2026. Konference proběhne o víkendu 28. a 29. března v Praze na Karlově náměstí 13. Vstup zdarma.

    Ladislav Hagara | Komentářů: 3
    Java 26 / JDK 26
    včera 03:55 | Nová verze

    Byla vydána Java 26 / JDK 26. Nových vlastností (JEP - JDK Enhancement Proposal) je 10. Odstraněno bylo Applet API.

    Ladislav Hagara | Komentářů: 10
    systemd 260
    17.3. 23:55 | Nová verze

    Byla vydána nová verze 260 správce systému a služeb systemd (Wikipedie, GitHub). Odstraněna byla podpora skriptů System V. Aktualizovány byly závislosti. Minimální verze Linuxu z 5.4 na 5.10, OpenSSL z 1.1.0 na 3.0.0, Pythonu z 3.7.0 na 3.9.0…

    Ladislav Hagara | Komentářů: 22
    Blender 5.1
    17.3. 18:11 | Nová verze

    Byla vydána nová verze 5.1 svobodného 3D softwaru Blender. Přehled novinek i s náhledy a videi v poznámkách k vydání. Videopředstavení na YouTube.

    Ladislav Hagara | Komentářů: 0
    FFmpeg 8.1 "Hoare"
    17.3. 04:55 | Nová verze

    Bylo oznámeno vydání nové verze 8.1 "Hoare" kolekce svobodného softwaru umožňujícího nahrávání, konverzi a streamovaní digitálního zvuku a obrazu FFmpeg (Wikipedie). Doprovodný příspěvek na blogu Khronosu rozebírá kódování a dekódování videa pomocí Vulkan Compute Shaders v FFmpeg.

    Ladislav Hagara | Komentářů: 12
    Open-source raketomet
    17.3. 04:33 | Zajímavý projekt

    Byl představen open-source a open-hardware prototyp nízkonákladového raketometu kategorie MANPADS, který byl sestaven z běžně dostupné elektroniky a komponent vytištěných na 3D tiskárně. Raketa využívá skládací stabilizační křidélka a canardovou stabilizaci aktivně řízenou palubním letovým počítačem ESP32, vybaveným inerciální měřicí jednotkou MPU6050 (gyroskop a akcelerometr). Přenosné odpalovací zařízení obsahuje GPS,

    … více »
    NUKE GAZA! 🎆 | Komentářů: 46
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (16%)
     (7%)
     (1%)
     (11%)
     (29%)
     (2%)
     (5%)
     (1%)
     (13%)
     (24%)
    Celkem 1109 hlasů
     Komentářů: 27, poslední 17.3. 19:26
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Zprávičky / Add-on pro Firefox odchytává cizí session-ID přes WiFi / Add-on pro Firefox odchytává cizí session-ID přes WiFi (diskuse)
    Štítky: není přiřazen žádný štítek

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Vložit další komentář
    16.11.2010 21:41 Jary | skóre: 30 | blog: Jary má blog | Dům
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Článek jsem nečetl, ale jistě bude stačit se po facebookování v kavárně od FB odhlásit. Session ID se tím určitě zinvalidní.
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky. GitHub
    Jendа avatar 16.11.2010 22:36 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Pokud nebude správce kavárny rychlejší a nestihne to zneužít už během sezení.

    Ale v kavárně je zbytečné sniffovat provoz, když tam rovnou můžeš dát keylogger.
    16.11.2010 22:25 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

    To už tu bylo před asi měsícem, ne?

    Amarok avatar 17.11.2010 09:40 Amarok | skóre: 33 | blog: blogoblog
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Pokud ano, tak pardon, zkousel jsem vyhledavani, aby se to nestalo a podobnou zpravu jsem nenasel.
    GNUniverse - May the source be with you...
    16.11.2010 23:34 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Boze, na to mi staci transparentni proxy. Naco instalovat nejaky add-on do firefoxu?
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    Jendа avatar 16.11.2010 23:43 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Ve skutečnosti stačí jenom pasivně poslouchat a pak si session naklonovat.

    Cílem projektu AFAIK ale bylo ukázat, že odposlouchávání WiFi sítí není jen doménou „elitních“ hackerů s nebezpečným OS GNU/Linuxem a teroristickými programy Kismet a tcpdump a upozornit tak lidi, že HTTPS se opravdu vyplatí.
    Amarok avatar 17.11.2010 09:26 Amarok | skóre: 33 | blog: blogoblog
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Presne tak, to je plugin pro normalni lidi, kterym se problematika ma nazorne ukazat pomoci programu, ktery vetsina lidi zna a pouziva (FF).
    GNUniverse - May the source be with you...
    16.11.2010 23:50 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Když už mám shell na serveru ve vlastní síti, tak tam rozhodně nebudu kopírovat nějakou http proxy vhodnou tak leda pro browser ale udělám si tam rovnou vpnku a je to.
    Jendа avatar 17.11.2010 00:04 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Nebo používat HTTPS… Třeba Facebook ho má, ale musí se tomu trochu pomoct (HTTPS-Everywhere od EFF). Stejně tak AbcLinuxu.
    Jaromír Svoboda avatar 17.11.2010 20:53 Jaromír Svoboda | skóre: 9 | blog: netblog
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Nebo používat HTTPS… Třeba Facebook ho má
    Jde v https připojeným facebooku chat na stránce? Mě ne, dole místo lišty s chatem je ikona výstražného trojúhelníku s popiskem "Chat není na této stránce povolen.", jinak v http verzi chat je funkční. Nefunkčnost chatu na stránce mi ale nevadí, mám na to v Pidginu XMPP účet facebooku s luxusem libnotify a lokální historií :-)
    Tom & Jerry: # cat /dev/input/mouse0
    Jendа avatar 17.11.2010 21:05 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Tak to netuším, FB nepoužívám. Jenom vím, že tam HTTPS šlo takhle zapnout.
    Jaromír Svoboda avatar 26.11.2010 13:03 Jaromír Svoboda | skóre: 9 | blog: netblog
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Tak už jsem zjistil, že nefunkční chat na FB v HTTPS verzi je známá chyba při používání doplňku HTTPS-Everywhere od EFF, píše se o tom na stránkách EFF ohledně 0.9.x verze doplňku. https://www.eff.org/https-everywhere
    Čeká se na to, až to FB opraví.
    Tom & Jerry: # cat /dev/input/mouse0
    17.11.2010 00:30 ElPraga
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Hm, ja treba mam shell na jednom stroji, ale VPN si tam asi nerozjedu. Me se to docela hodi..
    17.11.2010 00:23 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    V jiném článku se píše o jedné z možností ochrany.
    Základní možnost ochrany: pokud server neumožňuje SSL, nebudu se tam přihlašovat v internetové kavárně (nebo pravděpodobněji: nebudu se tam přihlašovat vůbec)
    Quando omni flunkus moritati
    17.11.2010 11:36 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Ono by úplně stačilo používat HTTP DIGEST autentizaci přes HTTP. Jenže to je moc jednoduché a účinné, takže nikdo z výrobců HTTP serverů i klientů nemá potřebu to implementovat dobře a uživatelsky přívětivě.
    18.11.2010 17:34 Libor Chocholaty | skóre: 12
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Coze? Mel jsem za to, ze tahle zakladni vec je normalne funkcni. Nikdy jsem se teda HTTP_DIGEST na apachi pouzit, ale ... vazne ne?
    18.11.2010 19:46 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Používal jsem HTTP DIGEST se serverem Jetty, a žádný problém jsem nezaznamenal. Pak server přešel na Apache, a na některých počítačích jsou problémy s MSIE. Těžko ale říct, v čem je problém. Já jsem zaznamenal, že MSIE se zeptá na heslo a pak HTTP hlavičku nepošle, ale v jiných případech mohl být problém v něčem jiném – tenkrát jsem se o problému na jiném počítači jen dozvěděl, dělo se to prý opakovaně, ale když jsem to chtěl zkoumat, spravilo se to samo. Další problém je v tom, jakým způsobem prohlížeče prezentují přihlašovací okno, často třeba chybí odlišení toho, co posílá server (a co by si měl uživatel kontrolovat), je to všechno nasypané do jedné věty. Snad ve všech prohlížečích pak chybí možnost odhlášení. Prostě je na tom vidět, že je to sice ve standardu, každý to nějak implementuje, aby si mohl udělat čárku, ale ve skutečnosti nikoho nezajímá, jestli to funguje a je to použitelné.
    17.11.2010 01:01 Jirka
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Takze v kolik je ten sraz na ruzynskem letisti? ;-)
    17.11.2010 11:06 Jakub Suchy | skóre: 22 | Praha
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Free wifi na ruzynskem letisti pro jistotu blokuje port 443, takze o to to bude jednodussi :) (Funguje tam pouze port 80, ani maily si clovek nestahne).
    Drupal
    vlastikroot avatar 17.11.2010 11:08 vlastikroot | skóre: 24 | blog: vlastikovo | Milevsko
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    By mě zajímalo, kterýho debila to napadlo :-D
    We will destroys the Christian's legion ... and the cross, will be inverted
    17.11.2010 16:12 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Na letišti se ve dne v noci bojuje za mír^w^wproti terorismu: šifrování používají teroristi → na letišti je třeba jej zakázat.
    Jendа avatar 17.11.2010 19:08 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    A pak objevili GNU httptunnel.
    gtz avatar 18.11.2010 00:03 gtz | skóre: 27 | blog: gtz | Brno
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Pokud mají dokonalý FW což myslím mají, pak to odmítne spojení. Pokud mají něco jako je Fortinet Firewall/Gate pak je to celkem na nic. Ty mašiny dokáží celkem hodně sofistikovaně prolézat protokoly a vše ostatní. Jak mi říkal známý i ICQ, který forwardoval přes 80 tak tam nechodilo.
    - nejhorší jsou trpaslíci ... Ti Vám vlezou úplně všude
    Jendа avatar 18.11.2010 00:21 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Ale ten HTTP tunnel by měl vypadat jako kdyby někdo lezl po webu a vyplňoval do formulářů různá data. Jediný rozdíl je ve kvantitě.
    18.11.2010 09:49 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Ale ten HTTP tunnel by měl vypadat jako kdyby někdo lezl po webu a vyplňoval do formulářů různá data. Jediný rozdíl je ve kvantitě.
    No, on takový html formulář s vyplněnými hlavičkami ostatních protokolů je také dost podezřelý :)
    18.11.2010 11:19 Mrkva | skóre: 22 | blog: urandom
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Tak ono není problém tohle pak případně šifrovat, že..
    We lived, we danced, we raced, we run, from the oblivion to come, Dressed for the last dance of a hundred thousand suns.
    18.11.2010 12:26 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    To sice ne, nicméně vememe-li v úvahu, že máme wifi hotspot pro BFU, tak rozpoznat od sebe HTML stránky s textem a HTTP posty plné nesmyslného balastu nebude pořád až tak moc těžké... prostě ve chvíli kdy ten fw začne koukat i dovnitř, tají se to podstatně hůře...
    gtz avatar 18.11.2010 12:50 gtz | skóre: 27 | blog: gtz | Brno
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    a ty mašiny se dívají hodně dovnitř. Dokáží i takové prasárny jako číst IM komunikaci bez problémů.
    - nejhorší jsou trpaslíci ... Ti Vám vlezou úplně všude
    AsciiWolf avatar 17.11.2010 11:32 AsciiWolf | skóre: 41 | blog: Blog
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    lol :-D
    17.11.2010 15:29 xurfa
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    No, stejně nechápu jednu věc a sice, proč naprostá většina webů nemění "session-id" po každém kliknutí?
    17.11.2010 16:18 Jary | skóre: 30 | blog: Jary má blog | Dům
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Nevim. Kvůli tlačítku Zpět? Když se stiskne Zpět, tak se imho pošle úplně stejný požadavek, jako před chvílí. Se starým SID by mě to vyhodilo.

    Navíc, proč to dělat? Čemu to pomůže?
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky. GitHub
    18.11.2010 00:07 Blut
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Pokud mas napriklad session ID v odkazech, nemuzes odkaz otevrit v dalsim okne/tabu a pokracovat dal v puvodnim (popr. dve a vice dalsich oken/tabu), protoze v tu chvili uz bys odesilal neplatne session ID, coz jde ponekud proti smyslu hypertextu.

    Samozrejme, session ID v URL je trosku problematicke, protoze se muze s referrerem dostat ven, ale session ID v cookies take, i kdyz opacnym zpusobem; muze se dostat dovnitr s podvrzenym linkem, napriklad kdyz nekdo na foru postne obrazek a jako src uvede link na logout.

    Navic, dynamicke session ID ti moc nepomuze, slidil by mohl stejne dobre odchytit session ID z odezvy serveru (tj. platne) jako z zadosti (tj. uz neplatne). Jen si vsimnes, kdyz ho zacne pouzivat (odlogne te).
    pavlix avatar 20.11.2010 01:34 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    No, stejně nechápu jednu věc a sice, proč naprostá většina webů nemění "session-id" po každém kliknutí?
    Spoustu věcí by to rozbilo, například prohlížení v tabech.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    17.11.2010 22:28 Zdeněk
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Inu, tohle až se dostane na Lupu, Živě a dál do vod pubescentní mládeže (už dostatečně obeznámené s instalací doplňku do firefoxu), to bude divočina:).

    Toga - Nakreslete si Hitlera
    18.11.2010 11:02 Matlák
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Tohle je známý problém. Zvláště úsměvné je to v případě facebooku, který nechává většina uživatelů laptopů přihlášený neustále, čili session ID je stále platné...

    Ten addon jsem nezkoušel, nedávno kolem něj byl velký humbuk ale to ještě neexistovala verze pro linux. Ovšem například wireshark a pokročilý editor cookies ve FF dokáže to samé, a jako bonus je možné odchytit opravdu jakoukoli službu, ne jen tu kterou firesheep zná... hrál jsem si s tím už dávno..
    18.11.2010 11:06 Matlák
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    jinak je jasné, že hlavní problém v tomto případě je IPv4/NAT :-) prostě server nemůže rozlišovat podle IP... já osobně už celá léta (po tom co jsem si tyhle "vychytávky" vyzkoušel ve školních WiFi sítích) používám minimálně dynamický SSH tunel či (častěji) rovnou VPN.
    18.11.2010 11:11 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Podle IP by server neměl rozlišovat nikdy, IP adresa se může měnit. Hlavní problém je, že se pro autentizaci používají cookie, když přitom protokol HTTP má definovánu bezpečnou metodu autentizace (HTTP DIGEST).
    18.11.2010 23:32 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Podle IP by server neměl rozlišovat nikdy, IP adresa se může měnit.
    Tak teoreticky se ta IP nebude měnit tak často, takže když se právoplatný uživatel bude muset přihlásit při změně, nebude to pro něj tak velká zátěž. Čistě prakticky tu máme GPRS a spol., kde se IP mění dokonce snad podle toho, s jakou BTS si telefon povídá (jistě to nevim, ale rozhodně se mění často)
    Hlavní problém je, že se pro autentizaci používají cookie, když přitom protokol HTTP má definovánu bezpečnou metodu autentizace (HTTP DIGEST).
    Protokol HTTP se dá zašifrovat pomocí SSL a kdyby lidi nezdržovali s přechodem na IPv6, nebylo by potřeba řešit nic jiného.
    Quando omni flunkus moritati
    Jendа avatar 19.11.2010 00:56 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Tak teoreticky se ta IP nebude měnit tak často, takže když se právoplatný uživatel bude muset přihlásit při změně, nebude to pro něj tak velká zátěž. Čistě prakticky tu máme GPRS a spol., kde se IP mění dokonce snad podle toho, s jakou BTS si telefon povídá (jistě to nevim, ale rozhodně se mění často)
    Tak BTS se může při pohybu v autobuse nebo vlaku měnit třeba každou půlminutu. Ale podle mě když už se mění, tak by se měla měnit s opuštěním svazku buněk řízených jedním BSC, ale o GSM toho zas tak moc nevím. Nicméně i tak to může být klidně každých pět minut. Takže proč znepříjemňovat uživateli život, když je efekt na bezpečnost nulový? To je jak s těmi aplikačními firewally, změnou hesla každé dva měsíce nebo zakazováním přihlášení na roota - když to tak otravuje, tak to určitě musí zvyšovat bezpečnost, ne snad?
    Jendа avatar 19.11.2010 01:01 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Ještě k tomu IPv6 - nemyslím si, že by třeba Facebook nebo Seznam e-mail běžely na sdílené IP(v4) s jinými weby. Přesto se muselo (nevím, jak teď) HTTPS explicitně vynutit.

    A ani u sdílených hostingů na té jedné IP podle mě dost často neběží ani alespoň ten jeden HTTPS host. Jestli to nebude spíš o lenosti než o nedostatku IP…
    19.11.2010 09:15 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Ono s SSL je to také trochu těžké... autority, které své certifikáty už protlačili alespoň někam, z toho mají dobrý byznys a každý přiblblý certifikát stojí fúru peněz... pravda, u věcí jako seznam nebo facebook je to šumák, u menších webů už zase tolik ne... jak mi tak přišlo, tak dobrý byznys z toho mají i autoři sw, co to používá, takže takové protlačení cacertu taky není úplně jednoduché. No a když se použije certifikát, jehož CA není přítomno v systému uživatele? Většina se pak na nějaký import CA (natož nějaké další ověřování) vykašle a přidá si výjimku... čímž se celý bezpečnostní efekt SSL ztrácí...
    Jendа avatar 19.11.2010 13:48 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Tak třeba StartCom už má své certifikáty leckde.

    Nicméně přijde mi lepší šifrovat i v případě, kdy nemůžeme ověřit identitu druhé strany. MitM útok je přeci jen složitější než prostý odposlech a oběť se o tom po skončení útoku alespoň dozví.
    19.11.2010 14:46 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Proč by se o tom oběť měla dozvědět? Do porovnávání složitosti MitM útoku a odposlechu bych se taky nepouštěl, záleží na okolnostech. Pro odposlech potřebujete přístup k trase mezi obětí a původním serverem (třeba zachycení WiFi komunikace), MitM můžete udělat třeba posláním falešné DNS odpovědi, což můžete udělat z druhého konce světa. Takže by se dalo říct i to, že MitM je jednodušší než odposlech…
    Jendа avatar 19.11.2010 15:09 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Proč by se o tom oběť měla dozvědět?
    Protože jí prohlížeč zařve, že se změnil certifikát protistrany, ne?
    vlastikroot avatar 19.11.2010 15:13 vlastikroot | skóre: 24 | blog: vlastikovo | Milevsko
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Jako by někdo ty certifikáty řešil :-D Většinou to lidi odkliknou a neřešej.
    We will destroys the Christian's legion ... and the cross, will be inverted
    19.11.2010 21:31 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Prohlížeč neřeší změnu certifikátu. Zkoumá jenom to, zda certifikát podepsala některá z autorit, které má v seznamu důvěryhodných.
    20.11.2010 11:49 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Řekl bych že řeší... tedy ve chvíli, kdy CA pro certifikát není dostupný a uživatel odklikne tu výjimku, tak si to pamatuje jen ten konkrétní certifikát a na změnu to přijde...
    20.11.2010 11:58 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Záleží na prohlížeči. Každopádně pokud uživatel potvrdí důvěryhodnost nějakého pochybného certifikátu, je problém především v tom. Myslím, že pak klidně odklikne i hlášku o tom, že se certifikát změnil.
    19.11.2010 11:00 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Prakticky se ta IP adresa může měnit s každým spojením, takže se uživatel ani nepřihlásí. Kontrola IP adresy je typický příklad chybného zabezpečení – útočníkovi to v ničem nezabrání, jenom to otravuje uživatele.
    Jendа avatar 18.11.2010 13:42 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    A že si s tou IP fakt pomůže… Uživatele by to akorát štvalo při cestování mezi sítěmi a útočník si po odpojení uživatele jeho adresu klidně nastaví.
    18.11.2010 15:10 Matlák
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    jo, to je fakt.. mnohem lepším řešením by byl zmiňovaný http/digest nebo rovnou ssl. Spíš jsem myslel to že z pohledu serveru je útočník na wifi a oběť jeden stroj- není možné určit ze kterého stroje byla autentizace heslem provedena (pokud vůbec byla, pravda, uživatelé jsou líní se odhlašovat a přihlašovat)
    18.11.2010 15:20 imploder | skóre: 11
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Není zatím verze pro Linux. Není náhodou potřeba na to pustit Firefox s právama adminitrátora (kvůli libpcap)? Nicméně zprávička je to zajímavá. Je dobré vědět, že odteď mi kdejaká lama může pohodlně krást nešifrované sessiony.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.