abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Vývoj Clear Linuxu byl oficiálně ukončen
    dnes 13:22 | Komunita

    Vývoj linuxové distribuce Clear Linux (Wikipedie) vyvíjené společností Intel a optimalizováné pro jejich procesory byl oficiálně ukončen.

    Ladislav Hagara | Komentářů: 1
    Vývoj renderovacího jádra Servo (07/2025)
    včera 14:00 | Zajímavý článek

    Byl publikován aktuální přehled vývoje renderovacího jádra webového prohlížeče Servo (Wikipedie).

    Ladislav Hagara | Komentářů: 0
    Forgejo 12.0
    včera 12:00 | Nová verze

    V programovacím jazyce Go naprogramovaná webová aplikace pro spolupráci na zdrojových kódech pomocí gitu Forgejo byla vydána ve verzi 12.0 (Mastodon). Forgejo je fork Gitei.

    Ladislav Hagara | Komentářů: 0
    Raspberry Pi Official Magazine 155 a Hello World 27
    17.7. 18:44 | Zajímavý článek

    Nová čísla časopisů od nakladatelství Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 155 (pdf) a Hello World 27 (pdf).

    Ladislav Hagara | Komentářů: 1
    Hyprland 0.50.0
    17.7. 16:11 | Nová verze

    Hyprland, tj. kompozitor pro Wayland zaměřený na dláždění okny a zároveň grafické efekty, byl vydán ve verzi 0.50.0. Podrobný přehled novinek na GitHubu.

    Ladislav Hagara | Komentářů: 2
    Slackware Linux slaví 32 let
    17.7. 15:55 | Komunita

    Patrick Volkerding oznámil před dvaatřiceti lety vydání Slackware Linuxu 1.00. Slackware Linux byl tenkrát k dispozici na 3,5 palcových disketách. Základní systém byl na 13 disketách. Kdo chtěl grafiku, potřeboval dalších 11 disket. Slackware Linux 1.00 byl postaven na Linuxu .99pl11 Alpha, libc 4.4.1, g++ 2.4.5 a XFree86 1.3.

    Ladislav Hagara | Komentářů: 5
    MMR nabízí odměny za odhalení bezpečnostních děr ve svých IT systémech
    16.7. 21:22 | IT novinky

    Ministerstvo pro místní rozvoj (MMR) jako první orgán státní správy v Česku spustilo takzvaný „bug bounty“ program pro odhalování bezpečnostních rizik a zranitelných míst ve svých informačních systémech. Za nalezení kritické zranitelnosti nabízí veřejnosti odměnu 1000 eur, v případě vysoké závažnosti je to 500 eur. Program se inspiruje přístupy běžnými v komerčním sektoru nebo ve veřejné sféře v zahraničí.

    Ladislav Hagara | Komentářů: 19
    Česko představilo nový jednotný vizuální styl státu
    16.7. 16:22 | IT novinky

    Vláda dne 16. července 2025 schválila návrh nového jednotného vizuálního stylu státní správy. Vytvořilo jej na základě veřejné soutěže studio Najbrt. Náklady na přípravu návrhu a metodiky činily tři miliony korun. Modernizovaný dvouocasý lev vychází z malého státního znaku. Vizuální styl doprovází originální písmo Czechia Sans.

    Ladislav Hagara | Komentářů: 26
    Vyhledávač DuckDuckGo má dnes výpadky
    16.7. 15:33 | Upozornění

    Vyhledávač DuckDuckGo je podle webu DownDetector od 2:15 SELČ nedostupný. Opět fungovat začal na několik minut zhruba v 15:15. Další služby nesouvisející přímo s vyhledáváním, jako mapyAI asistent jsou dostupné. Pro některé dotazy během výpadku stále funguje zobrazování například textu z Wikipedie.

    bindiff | Komentářů: 8
    Více než 600 Laravel aplikací je zranitelných vůči vzdálenému spuštění kódu
    16.7. 13:33 | Bezpečnostní upozornění

    Více než 600 aplikací postavených na PHP frameworku Laravel je zranitelných vůči vzdálenému spuštění libovolného kódu. Útočníci mohou zneužít veřejně uniklé konfigurační klíče APP_KEY (např. z GitHubu). Z více než 260 000 APP_KEY získaných z GitHubu bylo ověřeno, že přes 600 aplikací je zranitelných. Zhruba 63 % úniků pochází z .env souborů, které často obsahují i další citlivé údaje (např. přístupové údaje k databázím nebo cloudovým službám).

    Ladislav Hagara | Komentářů: 6
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (17%)
     (33%)
     (17%)
     (0%)
     (0%)
     (0%)
     (0%)
     (33%)
    Celkem 6 hlasů
     Komentářů: 1, poslední dnes 13:41
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Zprávičky / Add-on pro Firefox odchytává cizí session-ID přes WiFi / Add-on pro Firefox odchytává cizí session-ID přes WiFi (diskuse)
    Štítky: není přiřazen žádný štítek

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Vložit další komentář
    16.11.2010 21:41 Jary | skóre: 30 | blog: Jary má blog | Dům
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Článek jsem nečetl, ale jistě bude stačit se po facebookování v kavárně od FB odhlásit. Session ID se tím určitě zinvalidní.
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky. GitHub
    Jendа avatar 16.11.2010 22:36 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Pokud nebude správce kavárny rychlejší a nestihne to zneužít už během sezení.

    Ale v kavárně je zbytečné sniffovat provoz, když tam rovnou můžeš dát keylogger.
    16.11.2010 22:25 Jiří J. | skóre: 34 | blog: Poutník | Brno
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi

    To už tu bylo před asi měsícem, ne?

    Amarok avatar 17.11.2010 09:40 Amarok | skóre: 33 | blog: blogoblog
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Pokud ano, tak pardon, zkousel jsem vyhledavani, aby se to nestalo a podobnou zpravu jsem nenasel.
    GNUniverse - May the source be with you...
    16.11.2010 23:34 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Boze, na to mi staci transparentni proxy. Naco instalovat nejaky add-on do firefoxu?
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    Jendа avatar 16.11.2010 23:43 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Ve skutečnosti stačí jenom pasivně poslouchat a pak si session naklonovat.

    Cílem projektu AFAIK ale bylo ukázat, že odposlouchávání WiFi sítí není jen doménou „elitních“ hackerů s nebezpečným OS GNU/Linuxem a teroristickými programy Kismet a tcpdump a upozornit tak lidi, že HTTPS se opravdu vyplatí.
    Amarok avatar 17.11.2010 09:26 Amarok | skóre: 33 | blog: blogoblog
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Presne tak, to je plugin pro normalni lidi, kterym se problematika ma nazorne ukazat pomoci programu, ktery vetsina lidi zna a pouziva (FF).
    GNUniverse - May the source be with you...
    16.11.2010 23:50 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Když už mám shell na serveru ve vlastní síti, tak tam rozhodně nebudu kopírovat nějakou http proxy vhodnou tak leda pro browser ale udělám si tam rovnou vpnku a je to.
    Jendа avatar 17.11.2010 00:04 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Nebo používat HTTPS… Třeba Facebook ho má, ale musí se tomu trochu pomoct (HTTPS-Everywhere od EFF). Stejně tak AbcLinuxu.
    Jaromír Svoboda avatar 17.11.2010 20:53 Jaromír Svoboda | skóre: 9 | blog: netblog
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Nebo používat HTTPS… Třeba Facebook ho má
    Jde v https připojeným facebooku chat na stránce? Mě ne, dole místo lišty s chatem je ikona výstražného trojúhelníku s popiskem "Chat není na této stránce povolen.", jinak v http verzi chat je funkční. Nefunkčnost chatu na stránce mi ale nevadí, mám na to v Pidginu XMPP účet facebooku s luxusem libnotify a lokální historií :-)
    Tom & Jerry: # cat /dev/input/mouse0
    Jendа avatar 17.11.2010 21:05 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Tak to netuším, FB nepoužívám. Jenom vím, že tam HTTPS šlo takhle zapnout.
    Jaromír Svoboda avatar 26.11.2010 13:03 Jaromír Svoboda | skóre: 9 | blog: netblog
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Tak už jsem zjistil, že nefunkční chat na FB v HTTPS verzi je známá chyba při používání doplňku HTTPS-Everywhere od EFF, píše se o tom na stránkách EFF ohledně 0.9.x verze doplňku. https://www.eff.org/https-everywhere
    Čeká se na to, až to FB opraví.
    Tom & Jerry: # cat /dev/input/mouse0
    17.11.2010 00:30 ElPraga
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Hm, ja treba mam shell na jednom stroji, ale VPN si tam asi nerozjedu. Me se to docela hodi..
    17.11.2010 00:23 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    V jiném článku se píše o jedné z možností ochrany.
    Základní možnost ochrany: pokud server neumožňuje SSL, nebudu se tam přihlašovat v internetové kavárně (nebo pravděpodobněji: nebudu se tam přihlašovat vůbec)
    Quando omni flunkus moritati
    17.11.2010 11:36 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Ono by úplně stačilo používat HTTP DIGEST autentizaci přes HTTP. Jenže to je moc jednoduché a účinné, takže nikdo z výrobců HTTP serverů i klientů nemá potřebu to implementovat dobře a uživatelsky přívětivě.
    18.11.2010 17:34 Libor Chocholaty | skóre: 12
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Coze? Mel jsem za to, ze tahle zakladni vec je normalne funkcni. Nikdy jsem se teda HTTP_DIGEST na apachi pouzit, ale ... vazne ne?
    18.11.2010 19:46 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Používal jsem HTTP DIGEST se serverem Jetty, a žádný problém jsem nezaznamenal. Pak server přešel na Apache, a na některých počítačích jsou problémy s MSIE. Těžko ale říct, v čem je problém. Já jsem zaznamenal, že MSIE se zeptá na heslo a pak HTTP hlavičku nepošle, ale v jiných případech mohl být problém v něčem jiném – tenkrát jsem se o problému na jiném počítači jen dozvěděl, dělo se to prý opakovaně, ale když jsem to chtěl zkoumat, spravilo se to samo. Další problém je v tom, jakým způsobem prohlížeče prezentují přihlašovací okno, často třeba chybí odlišení toho, co posílá server (a co by si měl uživatel kontrolovat), je to všechno nasypané do jedné věty. Snad ve všech prohlížečích pak chybí možnost odhlášení. Prostě je na tom vidět, že je to sice ve standardu, každý to nějak implementuje, aby si mohl udělat čárku, ale ve skutečnosti nikoho nezajímá, jestli to funguje a je to použitelné.
    17.11.2010 01:01 Jirka
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Takze v kolik je ten sraz na ruzynskem letisti? ;-)
    17.11.2010 11:06 Jakub Suchy | skóre: 22 | Praha
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Free wifi na ruzynskem letisti pro jistotu blokuje port 443, takze o to to bude jednodussi :) (Funguje tam pouze port 80, ani maily si clovek nestahne).
    Drupal
    vlastikroot avatar 17.11.2010 11:08 vlastikroot | skóre: 24 | blog: vlastikovo | Milevsko
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    By mě zajímalo, kterýho debila to napadlo :-D
    We will destroys the Christian's legion ... and the cross, will be inverted
    17.11.2010 16:12 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Na letišti se ve dne v noci bojuje za mír^w^wproti terorismu: šifrování používají teroristi → na letišti je třeba jej zakázat.
    Jendа avatar 17.11.2010 19:08 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    A pak objevili GNU httptunnel.
    gtz avatar 18.11.2010 00:03 gtz | skóre: 27 | blog: gtz | Brno
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Pokud mají dokonalý FW což myslím mají, pak to odmítne spojení. Pokud mají něco jako je Fortinet Firewall/Gate pak je to celkem na nic. Ty mašiny dokáží celkem hodně sofistikovaně prolézat protokoly a vše ostatní. Jak mi říkal známý i ICQ, který forwardoval přes 80 tak tam nechodilo.
    - nejhorší jsou trpaslíci ... Ti Vám vlezou úplně všude
    Jendа avatar 18.11.2010 00:21 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Ale ten HTTP tunnel by měl vypadat jako kdyby někdo lezl po webu a vyplňoval do formulářů různá data. Jediný rozdíl je ve kvantitě.
    18.11.2010 09:49 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Ale ten HTTP tunnel by měl vypadat jako kdyby někdo lezl po webu a vyplňoval do formulářů různá data. Jediný rozdíl je ve kvantitě.
    No, on takový html formulář s vyplněnými hlavičkami ostatních protokolů je také dost podezřelý :)
    18.11.2010 11:19 Mrkva | skóre: 22 | blog: urandom
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Tak ono není problém tohle pak případně šifrovat, že..
    Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
    18.11.2010 12:26 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    To sice ne, nicméně vememe-li v úvahu, že máme wifi hotspot pro BFU, tak rozpoznat od sebe HTML stránky s textem a HTTP posty plné nesmyslného balastu nebude pořád až tak moc těžké... prostě ve chvíli kdy ten fw začne koukat i dovnitř, tají se to podstatně hůře...
    gtz avatar 18.11.2010 12:50 gtz | skóre: 27 | blog: gtz | Brno
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    a ty mašiny se dívají hodně dovnitř. Dokáží i takové prasárny jako číst IM komunikaci bez problémů.
    - nejhorší jsou trpaslíci ... Ti Vám vlezou úplně všude
    AsciiWolf avatar 17.11.2010 11:32 AsciiWolf | skóre: 41 | blog: Blog
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    lol :-D
    17.11.2010 15:29 xurfa
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    No, stejně nechápu jednu věc a sice, proč naprostá většina webů nemění "session-id" po každém kliknutí?
    17.11.2010 16:18 Jary | skóre: 30 | blog: Jary má blog | Dům
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Nevim. Kvůli tlačítku Zpět? Když se stiskne Zpět, tak se imho pošle úplně stejný požadavek, jako před chvílí. Se starým SID by mě to vyhodilo.

    Navíc, proč to dělat? Čemu to pomůže?
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky. GitHub
    18.11.2010 00:07 Blut
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Pokud mas napriklad session ID v odkazech, nemuzes odkaz otevrit v dalsim okne/tabu a pokracovat dal v puvodnim (popr. dve a vice dalsich oken/tabu), protoze v tu chvili uz bys odesilal neplatne session ID, coz jde ponekud proti smyslu hypertextu.

    Samozrejme, session ID v URL je trosku problematicke, protoze se muze s referrerem dostat ven, ale session ID v cookies take, i kdyz opacnym zpusobem; muze se dostat dovnitr s podvrzenym linkem, napriklad kdyz nekdo na foru postne obrazek a jako src uvede link na logout.

    Navic, dynamicke session ID ti moc nepomuze, slidil by mohl stejne dobre odchytit session ID z odezvy serveru (tj. platne) jako z zadosti (tj. uz neplatne). Jen si vsimnes, kdyz ho zacne pouzivat (odlogne te).
    pavlix avatar 20.11.2010 01:34 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    No, stejně nechápu jednu věc a sice, proč naprostá většina webů nemění "session-id" po každém kliknutí?
    Spoustu věcí by to rozbilo, například prohlížení v tabech.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    17.11.2010 22:28 Zdeněk
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Inu, tohle až se dostane na Lupu, Živě a dál do vod pubescentní mládeže (už dostatečně obeznámené s instalací doplňku do firefoxu), to bude divočina:).

    Toga - Nakreslete si Hitlera
    18.11.2010 11:02 Matlák
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Tohle je známý problém. Zvláště úsměvné je to v případě facebooku, který nechává většina uživatelů laptopů přihlášený neustále, čili session ID je stále platné...

    Ten addon jsem nezkoušel, nedávno kolem něj byl velký humbuk ale to ještě neexistovala verze pro linux. Ovšem například wireshark a pokročilý editor cookies ve FF dokáže to samé, a jako bonus je možné odchytit opravdu jakoukoli službu, ne jen tu kterou firesheep zná... hrál jsem si s tím už dávno..
    18.11.2010 11:06 Matlák
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    jinak je jasné, že hlavní problém v tomto případě je IPv4/NAT :-) prostě server nemůže rozlišovat podle IP... já osobně už celá léta (po tom co jsem si tyhle "vychytávky" vyzkoušel ve školních WiFi sítích) používám minimálně dynamický SSH tunel či (častěji) rovnou VPN.
    18.11.2010 11:11 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Podle IP by server neměl rozlišovat nikdy, IP adresa se může měnit. Hlavní problém je, že se pro autentizaci používají cookie, když přitom protokol HTTP má definovánu bezpečnou metodu autentizace (HTTP DIGEST).
    18.11.2010 23:32 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Podle IP by server neměl rozlišovat nikdy, IP adresa se může měnit.
    Tak teoreticky se ta IP nebude měnit tak často, takže když se právoplatný uživatel bude muset přihlásit při změně, nebude to pro něj tak velká zátěž. Čistě prakticky tu máme GPRS a spol., kde se IP mění dokonce snad podle toho, s jakou BTS si telefon povídá (jistě to nevim, ale rozhodně se mění často)
    Hlavní problém je, že se pro autentizaci používají cookie, když přitom protokol HTTP má definovánu bezpečnou metodu autentizace (HTTP DIGEST).
    Protokol HTTP se dá zašifrovat pomocí SSL a kdyby lidi nezdržovali s přechodem na IPv6, nebylo by potřeba řešit nic jiného.
    Quando omni flunkus moritati
    Jendа avatar 19.11.2010 00:56 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Tak teoreticky se ta IP nebude měnit tak často, takže když se právoplatný uživatel bude muset přihlásit při změně, nebude to pro něj tak velká zátěž. Čistě prakticky tu máme GPRS a spol., kde se IP mění dokonce snad podle toho, s jakou BTS si telefon povídá (jistě to nevim, ale rozhodně se mění často)
    Tak BTS se může při pohybu v autobuse nebo vlaku měnit třeba každou půlminutu. Ale podle mě když už se mění, tak by se měla měnit s opuštěním svazku buněk řízených jedním BSC, ale o GSM toho zas tak moc nevím. Nicméně i tak to může být klidně každých pět minut. Takže proč znepříjemňovat uživateli život, když je efekt na bezpečnost nulový? To je jak s těmi aplikačními firewally, změnou hesla každé dva měsíce nebo zakazováním přihlášení na roota - když to tak otravuje, tak to určitě musí zvyšovat bezpečnost, ne snad?
    Jendа avatar 19.11.2010 01:01 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Ještě k tomu IPv6 - nemyslím si, že by třeba Facebook nebo Seznam e-mail běžely na sdílené IP(v4) s jinými weby. Přesto se muselo (nevím, jak teď) HTTPS explicitně vynutit.

    A ani u sdílených hostingů na té jedné IP podle mě dost často neběží ani alespoň ten jeden HTTPS host. Jestli to nebude spíš o lenosti než o nedostatku IP…
    19.11.2010 09:15 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Ono s SSL je to také trochu těžké... autority, které své certifikáty už protlačili alespoň někam, z toho mají dobrý byznys a každý přiblblý certifikát stojí fúru peněz... pravda, u věcí jako seznam nebo facebook je to šumák, u menších webů už zase tolik ne... jak mi tak přišlo, tak dobrý byznys z toho mají i autoři sw, co to používá, takže takové protlačení cacertu taky není úplně jednoduché. No a když se použije certifikát, jehož CA není přítomno v systému uživatele? Většina se pak na nějaký import CA (natož nějaké další ověřování) vykašle a přidá si výjimku... čímž se celý bezpečnostní efekt SSL ztrácí...
    Jendа avatar 19.11.2010 13:48 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Tak třeba StartCom už má své certifikáty leckde.

    Nicméně přijde mi lepší šifrovat i v případě, kdy nemůžeme ověřit identitu druhé strany. MitM útok je přeci jen složitější než prostý odposlech a oběť se o tom po skončení útoku alespoň dozví.
    19.11.2010 14:46 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Proč by se o tom oběť měla dozvědět? Do porovnávání složitosti MitM útoku a odposlechu bych se taky nepouštěl, záleží na okolnostech. Pro odposlech potřebujete přístup k trase mezi obětí a původním serverem (třeba zachycení WiFi komunikace), MitM můžete udělat třeba posláním falešné DNS odpovědi, což můžete udělat z druhého konce světa. Takže by se dalo říct i to, že MitM je jednodušší než odposlech…
    Jendа avatar 19.11.2010 15:09 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Proč by se o tom oběť měla dozvědět?
    Protože jí prohlížeč zařve, že se změnil certifikát protistrany, ne?
    vlastikroot avatar 19.11.2010 15:13 vlastikroot | skóre: 24 | blog: vlastikovo | Milevsko
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Jako by někdo ty certifikáty řešil :-D Většinou to lidi odkliknou a neřešej.
    We will destroys the Christian's legion ... and the cross, will be inverted
    19.11.2010 21:31 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Prohlížeč neřeší změnu certifikátu. Zkoumá jenom to, zda certifikát podepsala některá z autorit, které má v seznamu důvěryhodných.
    20.11.2010 11:49 SPM | skóre: 28
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Řekl bych že řeší... tedy ve chvíli, kdy CA pro certifikát není dostupný a uživatel odklikne tu výjimku, tak si to pamatuje jen ten konkrétní certifikát a na změnu to přijde...
    20.11.2010 11:58 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Záleží na prohlížeči. Každopádně pokud uživatel potvrdí důvěryhodnost nějakého pochybného certifikátu, je problém především v tom. Myslím, že pak klidně odklikne i hlášku o tom, že se certifikát změnil.
    19.11.2010 11:00 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Prakticky se ta IP adresa může měnit s každým spojením, takže se uživatel ani nepřihlásí. Kontrola IP adresy je typický příklad chybného zabezpečení – útočníkovi to v ničem nezabrání, jenom to otravuje uživatele.
    Jendа avatar 18.11.2010 13:42 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    A že si s tou IP fakt pomůže… Uživatele by to akorát štvalo při cestování mezi sítěmi a útočník si po odpojení uživatele jeho adresu klidně nastaví.
    18.11.2010 15:10 Matlák
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    jo, to je fakt.. mnohem lepším řešením by byl zmiňovaný http/digest nebo rovnou ssl. Spíš jsem myslel to že z pohledu serveru je útočník na wifi a oběť jeden stroj- není možné určit ze kterého stroje byla autentizace heslem provedena (pokud vůbec byla, pravda, uživatelé jsou líní se odhlašovat a přihlašovat)
    18.11.2010 15:20 imploder | skóre: 11
    Rozbalit Rozbalit vše Re: Add-on pro Firefox odchytává cizí session-ID přes WiFi
    Není zatím verze pro Linux. Není náhodou potřeba na to pustit Firefox s právama adminitrátora (kvůli libpcap)? Nicméně zprávička je to zajímavá. Je dobré vědět, že odteď mi kdejaká lama může pohodlně krást nešifrované sessiony.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.