Firefox add-on สวมรอยผู้ใช้ Facebook

Firefox add-on สวมรอยผู้ใช้ Facebook

Firefox add-on สวมรอยผู้ใช้ Facebook

Arip

สนับสนุนเนื้อหา

รายงานข่าวล่าสุด โปรแกรมเสริมการทำงาน (aad-on) ที่แจกฟรีสำหรับ Firefox ตัวหนึ่งยอมให้เข้าถึงบัญชีผู้ใช้ และพาสเวิร์ดที่ไดรับการป้องกันในโซเชียลเน็ตเวิร์ก และเว็บไซต์ต่างๆ ได้อย่างง่ายดาย โดยไม่ต้องขโมยรายละเอียดที่ใช้ในการล็อกอินแต่อย่างใด

Eric Butler ผู้สร้าง add-on ชื่อว่า Firexheep ทีทำงานร่วมกับ Firefox เวอร์ชันบน Windows และ Mac OS X หวังว่า สิ่งที่เขาพัฒนาขึ้นมานี้จะทำให้ Facebook และเว็บไซต์อื่นๆ จะได้แก้ไขระบบรักษาความปลอดภัยให้ดีขึ้น ซอฟต์แวรืดังกล่าวได้ถูกเปิดเผยในงานประชุมแฮคเกอร์ Toorcon ที่จัดขึ้นในซานดิเอโกเมื่อวันอาทิตย์ที่ผ่านมา Butler อธิบายว่า Firesheep จะใช้ข้อได้เปรียบของเทคนิค "sidejacking" ในการเข้าถึงช่องโหว่ของการทำงานของระบบรักษาความปลอดภัยบน เว็บไซต์

เมื่อผู้ใช้ล็อกอินเข้าไปในเว็บไซต์ที่มีระบบรักษาความปลอดภัย พวกเขาจะถูกร้องขอให้พิมพ์ username และ password จากนั้นเซิร์ฟเวอร์จะตรวจสอบว่า บัญชีผู้ใช้ตรงกับ username ที่มีอยู่บนเซิร์ฟเวอร์หรือไม่ หากพบว่ามีก็จะตรวจอสบพาสเวิร์ดว่าตรงกัน หรือเปล่า ซึ่งหากคำตอบทั้งสองอันคือ yes เซิร์ฟเวอร์จะส่ง "cookie" กลับไปยังคอมพิวเตอร์ของผู้ใช้ ซึ่งบราวเซอร์จะใช้ข้อมูลที่ระบุตัวตนที่เป็นหนึ่งเดียวนี้ในการร้องขอ ข้อมูลทุกอย่างจากเซิร์ฟเวอร์ด้วยเซสชั่นที่เกิดขึ้น

ปัญหาที Butler ได้ชี้ให้เห็นก็คือ แม้ข้อมูล password และ login จะปลอดภัยเนื่องจากมีการเข้ารหัสขณะส่งไปยังเซิร์ฟเวอร์ แต่ cookies ที่ส่งกลับมาให้คอมพิวเตอร์ของผู้ใช้กลับไม่ได้มีการป้องกันใดๆ ดังนั้น หากแฮคเกอร์สามารถดักจับ "cookie" นั้นได้ เขาก็จะสามารถทำทุกอย่างได้เช่นเดียวกับยูสเซอร์คนนั้น ตราบใดที่เขายังไม่ได้ log-out ออกจากระบบ และหากผู้ใช้ล็อกออนผ่านเครือข่ายไร้สายที่เปิดให้บริการสาธารณะ "cookie" ที่ว่านี้ก็จะกระจายอยู่ในอากาศ ซึ่งทำให้การโจมตีด้วยวิธีดังกล่าวทำได้ง่ายขึ้นไปอีก

เมื่อ แฮคเกอร์ติดตั้ง Firesheep บน Firefox มันจะมีบาร์ด้านข้างโผล่ขึ้นมาในบราวเซอร์ สิ่งที่แฮคเกอร์ต้องทำก็คือ เชื่อต่อเครือข่ายไร้สาย Wi-Fi สาธารณะ และคลิกปุ่ม "Start Capturing" เพื่อเก็บเกี่ยว cookies ของผู้ใช้แถวนั้น และสวมรอยการใช้งานได้ทันที Butler ออกเครื่องมือนี้มา เพื่อแสดงให้เห็นว่า เขาพบช่องโหว่ของระบบรักษาความปลอดภัยที่อันตรายมากๆ และหวังว่า เว็บไซต์ต่างๆ จะได้แก้ไขปัญหานี้ โดยเฉพาะการเข้ารหัส SSL กับบราวเซอร์แบบ end-to-end

" มีการพัฒนาคุณสมบัติสำหรับการรักษาความเป็นส่วนตัว (privacy) ใหม่ๆ ให้กับผู้ใช้ตลอดเวลา เพื่อปลอบใจผู้ใช้ที่รู้สึกไม่แฮปปี้" Butler โพสต์ไว้ในบล็อก "แต่มันไม่ได้มีประโยชน์อันใดเลย ในเมื่อใคร(ที่ใช้ Firesheep หรือใช้ช่องโหว่ดังกล่าว) ก็สามารถแทนที่บัญชีผู้ใช้ได้เต็มๆ"

Facebook & Twitter security FAIL (& how you can stay safe)

application/x-shockwave-flash" width="560">

[อัพเดตเมื่อเวลา 13:25 น. วันที่ 26 ตุลาคม 2553] รายงาน ข่าวล่าสุด ภายใน 24 ชม. มีการดาวน์โหลด Firesheep ปลั๊กอิน"มหาภัย"ไปแล้ว 104,000 ครั้ง โดยคาดว่า น่าจะมาจากแฮคเกอร์ตัวจริง และผู้ใช้ที่อยากทดลองว่า มันทำได้จริง หรือไม่? งานนี้เจ้าตัวผู้พัฒนา เลยทำคลิปสาธิตการทำงานให้เห็นกันจะๆ ไปเลย

ข้อมูลจาก: net-security

เผยภาพหลุด Keyboard เสริมความสามารถให้กับ Samsung Galaxy Tab S3

เผยภาพหลุด Keyboard เสริมความสามารถให้กับ Samsung Galaxy Tab S3

Samsung อาจจะนำ Galaxy Note 7 บางส่วนปรับสเปคและขายในชื่อ Galaxy Note 7s ในบางประเทศ

Samsung อาจจะนำ Galaxy Note 7 บางส่วนปรับสเปคและขายในชื่อ Galaxy Note 7s ในบางประเทศ

หลุดเครื่องจริงของ Samsung Galaxy S8 ระหว่างทดลองใส่กับฟิล์มกันรอย

หลุดเครื่องจริงของ Samsung Galaxy S8 ระหว่างทดลองใส่กับฟิล์มกันรอย

เผยสเปคกล้องของ LG G6 จะได้องศาที่มีความกว้างมากทั้งกล้อนหน้าและหลัง

เผยสเปคกล้องของ LG G6 จะได้องศาที่มีความกว้างมากทั้งกล้อนหน้าและหลัง

Kaidee และผู้ใช้งาน Kaidee มอบเงินบริจาคช่วยผู้ประสบอุทกภัยภาคใต้

Kaidee และผู้ใช้งาน Kaidee มอบเงินบริจาคช่วยผู้ประสบอุทกภัยภาคใต้

ส่องโปรโมชั่น Samsung Galaxy A7 2017 ลดแรงเหลือ 12,990 บาท

ส่องโปรโมชั่น Samsung Galaxy A7 2017 ลดแรงเหลือ 12,990 บาท

หลุดคาที่ Samsung Galaxy Tab S3 มาพร้อมกระจกทั้งหน้าและหลัง

หลุดคาที่ Samsung Galaxy Tab S3 มาพร้อมกระจกทั้งหน้าและหลัง

WhatsApp เพิ่มฟีเจอร์แชร์ภาพที่ลบตัวเองใน 24 ชั่วโมงชื่อ Status

WhatsApp เพิ่มฟีเจอร์แชร์ภาพที่ลบตัวเองใน 24 ชั่วโมงชื่อ Status

มีความเป็นไปได้ว่า Android รุ่นต่อไปจะใช้ชื่อว่า Android Oreo

มีความเป็นไปได้ว่า Android รุ่นต่อไปจะใช้ชื่อว่า Android Oreo

เดือนมีนาคมนี้!! เราอาจได้เจอ iPhone 7 รุ่นสีแดง

เดือนมีนาคมนี้!! เราอาจได้เจอ iPhone 7 รุ่นสีแดง

นักพัฒนาเผย iOS 10.3 Beta 3 มีการใส่ฟีเจอร์ตามหาหูฟัง AirPods ได้แล้ว

นักพัฒนาเผย iOS 10.3 Beta 3 มีการใส่ฟีเจอร์ตามหาหูฟัง AirPods ได้แล้ว

Samsung เผลอปล่อยแอปที่เผยหน้าตาของ Galaxy S8 มาซะงั้น

Samsung เผลอปล่อยแอปที่เผยหน้าตาของ Galaxy S8 มาซะงั้น

หลุด Moto G5 ของจริงก่อนเปิดตัวสัปดาห์หน้า

หลุด Moto G5 ของจริงก่อนเปิดตัวสัปดาห์หน้า

เผยราคาของ Nokia 8 ในจีนคาดว่าอยู่แถว ๆ 16,000 บาท

เผยราคาของ Nokia 8 ในจีนคาดว่าอยู่แถว ๆ 16,000 บาท

5 มือถือรุ่นเด่นที่มาแรง และโดนใจผู้ชมมากที่สุดประจำสัปดาห์ แบรนด์ไหนดี รุ่นไหนเด่น

5 มือถือรุ่นเด่นที่มาแรง และโดนใจผู้ชมมากที่สุดประจำสัปดาห์ แบรนด์ไหนดี รุ่นไหนเด่น

ถึงคราวบอกลา !! BlackBerry มีส่วนแบ่งการตลาด 0.0%

ถึงคราวบอกลา !! BlackBerry มีส่วนแบ่งการตลาด 0.0%

เล็ก - ดามิสาฐ์ จับมือ ชาย - สหรัฐ เปิดตัว SOUR Bangkok เอเจนซี่อิสระรสชาติใหม่

เล็ก - ดามิสาฐ์ จับมือ ชาย - สหรัฐ เปิดตัว SOUR Bangkok เอเจนซี่อิสระรสชาติใหม่

Sony เผย SmartWatch 3 จะไมไ่ด้ไปต่อใน Android Wear 2.0

Sony เผย SmartWatch 3 จะไมไ่ด้ไปต่อใน Android Wear 2.0

มาอัพเดทข่าววงการไอที เอไอเอสคว้า 2 รางวัลระดับโลกทางด้านผู้ให้บริการเครือข่ายโทรศัพท์มือถือในปีนี้

มาอัพเดทข่าววงการไอที เอไอเอสคว้า 2 รางวัลระดับโลกทางด้านผู้ให้บริการเครือข่ายโทรศัพท์มือถือในปีนี้

หลุดสเปคและภาพตัวเครื่องของ ASUS Zenfone 3 Go มือถือสวยเรียบงบเบา ๆ

หลุดสเปคและภาพตัวเครื่องของ ASUS Zenfone 3 Go มือถือสวยเรียบงบเบา ๆ

ส่งอีเมล์ให้เพื่อน

ส่งให้เพื่อนหลายคนใส่ “,” (ส่งพร้อมกันมากสุด 50 อีเมล์)

ส่งอีเมล์