Firefox-Add-on kapert Facebook-Sitzungen Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


26.10.2010 pte

Firefox-Add-on kapert Facebook-Sitzungen

Der Entwickler Eric Butler hat ein Add-on für Firefox veröffentlicht, das in ungesicherten WLAN-Netzen mit einem Klick die Sitzungen anderer User auf Seiten wie Facebook, Amazon oder Google kapern kann.

Damit soll "Firesheep" das Problem mangelnder Verschlüsselung im Web verdeutlichen. Denn das Tool stiehlt laut Butler einfach Session-Cookies, die unverschlüsselt übertragen werden. Wer öffentliche Hotspots nutzt, ist stets dem Risiko solcher Angriffe ausgesetzt.

"Das eigentliche Sicherheitsproblem sind dabei offene WLANs. Dass unverschlüsselte Daten hier grundsätzlich von jedermann mitgelesen werden können, ist ansich bekannt", meint Tillmann Werner, Virus Analyst bei Kaspersky Lab, gegenüber pressetext. Dass ein Tool wie Firesheep quelloffen veröffentlicht wird, sei aber doch etwas kritisch zu sehen. Dabei will Butler nach eigenen Angaben nur User motivieren, mehr SSL-Verschlüsselung einzufordern.

COOKIE-SCHWACHSTELLE Zwar nutzen viele Webangebote SSL für das Login. Doch schon das Session-Cookie, das von Services an den User zurückgeschickt wird, bleibt in vielen Fällen unverschlüsselt, so Butler. Das ist gerade in offenen WLAN-Netzen fatal, wo theoretisch jeder den Datenverkehr mitlesen kann. Genau darauf setzt das im Rahmen der Hackerkonferenz ToorCon von Butler und dem Security-Consultant Ian Gallagher vorgestellte Tool. Firesheep fängt in WLAN-Netzen unverschlüsselte Cookies ab. Der Nutzer kann somit in seinem Browser mit den Identitäten anderer User diverse Webdienste nutzen.

Die Zahl der Webangebote, die dank unverschlüsselter Cookies für ein solches "Session Hijacking" anfällig sind, ist den Experten zufolge lang. In der Dokumentation zu Firesheep führen sie unter anderem Amazon, Facebook, Flickr, Google und Twitter als Seiten an, deren Cookies mit Firesheep abgefangen werden können. Für weitere Dienste wie Blogger, eBay oder PayPal wird demnach an einer Unterstützung gearbeitet.

GEGENMASSNAHMEN Für die Firesheep-Entwickler steht fest, dass User einen konsequenteren Einsatz von SSL im Web fordern sollten. "Websites stehen in der Verantwortung, die Menschen zu schützen, die sich auf ihre Dienste verlassen. Sie haben sich dieser Verantwortung lange genug nicht gestellt", schreibt Butler. Nur eine komplette Verschlüsselung von Endpunkt zu Endpunkt könne das vom Firefox-Add-on aufgezeigte Problem auch lösen.

"Wer auf die Nutzung offener WLANs angewiesen ist, sollte entsprechende Maßnahmen zum Schutz seiner übertragenen Daten ergreifen", sagt Werner. Im Idealfall wäre das die Nutzung eines Virtual private Networks. "Übrigens können Web-Sessions auch dann angegriffen werden, wenn ein verschlüsseltes WLAN verwendet wird", warnt der Kaspersky-Experte. In einem offenen WLAN sind Angriffe nur leichter, da sie jeder einfach mitbenutzen kann. (pte)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr
  • free-com solutions gmbh

    free-com solutions gmbh Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr
  • DBConcepts GmbH. Die Oracle Experten.

    DBConcepts GmbH. Die Oracle Experten. Enterprise Application Integration, Datenbanken, Business Intelligence und Knowledge Management, Tools, Server-Betriebssysteme, Middleware, Betriebssysteme für PCs,... mehr

Hosted by:    Security Monitoring by: