看起來還蠻容易操作的。影片使用一個未登入的Firefox瀏覽器,再用另一個瀏覽器登入。結果Firefox也就能偽裝操作另一個帳號了...。
除了Faceook之外,其他常用的如Youtube, dropbox, flickr, Windows Live等等,都可以用同樣技術被入侵。它雖然不能夠知道你的密碼,但是仍然能操作別人的帳號。Gmail已經有針對這個問題去修正,比較不會外洩資料。
Firesheep作者訪談
結論是,在切換到開放的無線網路環境之前,就要登出,不要登入做隱私相關的網路活動。Wifi手機、ipod、iPad也是一樣。或是使用一些連結加密軟體去保護傳輸資料。不過政府或ISP要操弄還是很容易,所以網站去修補這個漏洞才是最重要的。
一些會被攻擊的網站名單:https://github.com/codebutler/firesheep/wiki/Handlers
目前幾個大站已陸續補掉這個漏洞。雖然洞補起來了,沒辦法去修改你的資料,但是未加密的內容,在沒有設定密碼的開放Wifi,還是很容易被人看光光,Wifly等大型無線wifi計劃,其資訊安全性還是很令人擔憂。
另外還有種Man in the middle攻擊,就是使用者和主機之間,插入了偽裝的轉發機器,藉此攔截解密資料。或是污染修改DNS,把資料轉向到其他主機。
沒有留言:
張貼留言