Firefox add-on สวมรอยผู้ใช้ Facebook

Firefox add-on สวมรอยผู้ใช้ Facebook

Firefox add-on สวมรอยผู้ใช้ Facebook

Arip

สนับสนุนเนื้อหา

รายงานข่าวล่าสุด โปรแกรมเสริมการทำงาน (aad-on) ที่แจกฟรีสำหรับ Firefox ตัวหนึ่งยอมให้เข้าถึงบัญชีผู้ใช้ และพาสเวิร์ดที่ไดรับการป้องกันในโซเชียลเน็ตเวิร์ก และเว็บไซต์ต่างๆ ได้อย่างง่ายดาย โดยไม่ต้องขโมยรายละเอียดที่ใช้ในการล็อกอินแต่อย่างใด

Eric Butler ผู้สร้าง add-on ชื่อว่า Firexheep ทีทำงานร่วมกับ Firefox เวอร์ชันบน Windows และ Mac OS X หวังว่า สิ่งที่เขาพัฒนาขึ้นมานี้จะทำให้ Facebook และเว็บไซต์อื่นๆ จะได้แก้ไขระบบรักษาความปลอดภัยให้ดีขึ้น ซอฟต์แวรืดังกล่าวได้ถูกเปิดเผยในงานประชุมแฮคเกอร์ Toorcon ที่จัดขึ้นในซานดิเอโกเมื่อวันอาทิตย์ที่ผ่านมา Butler อธิบายว่า Firesheep จะใช้ข้อได้เปรียบของเทคนิค "sidejacking" ในการเข้าถึงช่องโหว่ของการทำงานของระบบรักษาความปลอดภัยบน เว็บไซต์

เมื่อผู้ใช้ล็อกอินเข้าไปในเว็บไซต์ที่มีระบบรักษาความปลอดภัย พวกเขาจะถูกร้องขอให้พิมพ์ username และ password จากนั้นเซิร์ฟเวอร์จะตรวจสอบว่า บัญชีผู้ใช้ตรงกับ username ที่มีอยู่บนเซิร์ฟเวอร์หรือไม่ หากพบว่ามีก็จะตรวจอสบพาสเวิร์ดว่าตรงกัน หรือเปล่า ซึ่งหากคำตอบทั้งสองอันคือ yes เซิร์ฟเวอร์จะส่ง "cookie" กลับไปยังคอมพิวเตอร์ของผู้ใช้ ซึ่งบราวเซอร์จะใช้ข้อมูลที่ระบุตัวตนที่เป็นหนึ่งเดียวนี้ในการร้องขอ ข้อมูลทุกอย่างจากเซิร์ฟเวอร์ด้วยเซสชั่นที่เกิดขึ้น

ปัญหาที Butler ได้ชี้ให้เห็นก็คือ แม้ข้อมูล password และ login จะปลอดภัยเนื่องจากมีการเข้ารหัสขณะส่งไปยังเซิร์ฟเวอร์ แต่ cookies ที่ส่งกลับมาให้คอมพิวเตอร์ของผู้ใช้กลับไม่ได้มีการป้องกันใดๆ ดังนั้น หากแฮคเกอร์สามารถดักจับ "cookie" นั้นได้ เขาก็จะสามารถทำทุกอย่างได้เช่นเดียวกับยูสเซอร์คนนั้น ตราบใดที่เขายังไม่ได้ log-out ออกจากระบบ และหากผู้ใช้ล็อกออนผ่านเครือข่ายไร้สายที่เปิดให้บริการสาธารณะ "cookie" ที่ว่านี้ก็จะกระจายอยู่ในอากาศ ซึ่งทำให้การโจมตีด้วยวิธีดังกล่าวทำได้ง่ายขึ้นไปอีก

เมื่อ แฮคเกอร์ติดตั้ง Firesheep บน Firefox มันจะมีบาร์ด้านข้างโผล่ขึ้นมาในบราวเซอร์ สิ่งที่แฮคเกอร์ต้องทำก็คือ เชื่อต่อเครือข่ายไร้สาย Wi-Fi สาธารณะ และคลิกปุ่ม "Start Capturing" เพื่อเก็บเกี่ยว cookies ของผู้ใช้แถวนั้น และสวมรอยการใช้งานได้ทันที Butler ออกเครื่องมือนี้มา เพื่อแสดงให้เห็นว่า เขาพบช่องโหว่ของระบบรักษาความปลอดภัยที่อันตรายมากๆ และหวังว่า เว็บไซต์ต่างๆ จะได้แก้ไขปัญหานี้ โดยเฉพาะการเข้ารหัส SSL กับบราวเซอร์แบบ end-to-end

" มีการพัฒนาคุณสมบัติสำหรับการรักษาความเป็นส่วนตัว (privacy) ใหม่ๆ ให้กับผู้ใช้ตลอดเวลา เพื่อปลอบใจผู้ใช้ที่รู้สึกไม่แฮปปี้" Butler โพสต์ไว้ในบล็อก "แต่มันไม่ได้มีประโยชน์อันใดเลย ในเมื่อใคร(ที่ใช้ Firesheep หรือใช้ช่องโหว่ดังกล่าว) ก็สามารถแทนที่บัญชีผู้ใช้ได้เต็มๆ"

Facebook & Twitter security FAIL (& how you can stay safe)

application/x-shockwave-flash" width="560">

[อัพเดตเมื่อเวลา 13:25 น. วันที่ 26 ตุลาคม 2553] รายงาน ข่าวล่าสุด ภายใน 24 ชม. มีการดาวน์โหลด Firesheep ปลั๊กอิน"มหาภัย"ไปแล้ว 104,000 ครั้ง โดยคาดว่า น่าจะมาจากแฮคเกอร์ตัวจริง และผู้ใช้ที่อยากทดลองว่า มันทำได้จริง หรือไม่? งานนี้เจ้าตัวผู้พัฒนา เลยทำคลิปสาธิตการทำงานให้เห็นกันจะๆ ไปเลย

ข้อมูลจาก: net-security

เลือกหน่วยความจำเสริมแบบไหนถึงจะเหมาะกับมือถือคุณ

เลือกหน่วยความจำเสริมแบบไหนถึงจะเหมาะกับมือถือคุณ

Galaxy Note8 เผยดีไซน์หน้าจอไร้ขอบแบบใหม่ ใหญ่ถึง 6.4 นิ้ว คาดไฮเอนด์ขั้นสุดด้วยจอ 4K

Galaxy Note8 เผยดีไซน์หน้าจอไร้ขอบแบบใหม่ ใหญ่ถึง 6.4 นิ้ว คาดไฮเอนด์ขั้นสุดด้วยจอ 4K

Instagram ปรับนโยบาย เลือกเบลอรูปที่มีปัญหา แทนการลบอัตโนมัติ

Instagram ปรับนโยบาย เลือกเบลอรูปที่มีปัญหา แทนการลบอัตโนมัติ

รอดราวปาฏิหาร เมื่อเด็กสี่ขวบโทรช่วยแม่ด้วย Siri

รอดราวปาฏิหาร เมื่อเด็กสี่ขวบโทรช่วยแม่ด้วย Siri

6 สมาร์ทโฟนราคาไม่เกิน 3,000 บาท ที่มาแรง และคุ้มค่าน่าจับจองเป็นเจ้าของมากที่สุด

6 สมาร์ทโฟนราคาไม่เกิน 3,000 บาท ที่มาแรง และคุ้มค่าน่าจับจองเป็นเจ้าของมากที่สุด

Facebook Messenger เพิ่มฟีเจอร์ emoji แสดงปฏิกิริยา และ สามารถ Mention ถึงเพื่อนได้

Facebook Messenger เพิ่มฟีเจอร์ emoji แสดงปฏิกิริยา และ สามารถ Mention ถึงเพื่อนได้

สรุป 10 ฟีเจอร์ที่น่าสนใจบน Android O เวอร์ชันใหม่ล่าสุดจาก Google ฟีเจอร์ใหม่เป็นอย่างไร

สรุป 10 ฟีเจอร์ที่น่าสนใจบน Android O เวอร์ชันใหม่ล่าสุดจาก Google ฟีเจอร์ใหม่เป็นอย่างไร

เมื่อ Huawei P10 ปะทะ Huawei P10 Plus มือถือกล้อง Leica ใครจะถ่ายออกมาได้สวยกว่ากัน

เมื่อ Huawei P10 ปะทะ Huawei P10 Plus มือถือกล้อง Leica ใครจะถ่ายออกมาได้สวยกว่ากัน

เผยสิทธิบัตรของ Apple Docking แปลงร่าง iPhone iPad เป็น Notebook

เผยสิทธิบัตรของ Apple Docking แปลงร่าง iPhone iPad เป็น Notebook

Messenger Lite เปิดให้บริการในประเทศไทยแล้ววันนี้

Messenger Lite เปิดให้บริการในประเทศไทยแล้ววันนี้

รวมข้อมูล Apple PRODUCT (RED) ผลิตภัณฑ์สมทบทุนเพื่อต่อต้านโรคเอดส์จาก Apple รุ่นไหนโดน

รวมข้อมูล Apple PRODUCT (RED) ผลิตภัณฑ์สมทบทุนเพื่อต่อต้านโรคเอดส์จาก Apple รุ่นไหนโดน

วิธีง่าย ๆ ในการเคลียร์พื้นที่ iPhone ได้พื้นที่กลับมาใช้งานเพียบ ไม่ต้องลบรูปทิ้งให้ยุ่งยาก

วิธีง่าย ๆ ในการเคลียร์พื้นที่ iPhone ได้พื้นที่กลับมาใช้งานเพียบ ไม่ต้องลบรูปทิ้งให้ยุ่งยาก

แอลจีจับมือโตโทคุจิน โยชิโอกะ สร้างสรรค์งานแสดง OLED “S.F Senses of the future"

แอลจีจับมือโตโทคุจิน โยชิโอกะ สร้างสรรค์งานแสดง OLED “S.F Senses of the future"

นั่งยัน Nokia พร้อมบุกสหรัฐอเมริกาแน่นอน

นั่งยัน Nokia พร้อมบุกสหรัฐอเมริกาแน่นอน

แม้ iPhone 7 จะมีสีแดงขาย แต่ค่ายแรกที่มีมือถือสีแดงคือ Moto ในประเทศจีน

แม้ iPhone 7 จะมีสีแดงขาย แต่ค่ายแรกที่มีมือถือสีแดงคือ Moto ในประเทศจีน

โฟกัลรุกตลาดกระจกนิรภัยเพิ่มขึ้น พร้อมตอบแทนสังคมสร้างห้องผ่าตัดตา โรงพยาบาลจักษุบ้านแพ้ว

โฟกัลรุกตลาดกระจกนิรภัยเพิ่มขึ้น พร้อมตอบแทนสังคมสร้างห้องผ่าตัดตา โรงพยาบาลจักษุบ้านแพ้ว

Google Photos เปิดให้ผู้ใช้แบคอัพและแชร์ภาพแบบพรีวิวเมื่อเชื่อมต่ออินเทอร์เน็ตความเร็วต่ำ

Google Photos เปิดให้ผู้ใช้แบคอัพและแชร์ภาพแบบพรีวิวเมื่อเชื่อมต่ออินเทอร์เน็ตความเร็วต่ำ

Facebook Live เพิ่มช่องทาง Live ผ่านคอมพิวเตอร์ได้แล้ว

Facebook Live เพิ่มช่องทาง Live ผ่านคอมพิวเตอร์ได้แล้ว

Google เพิ่มฟีเจอร์โทรเฉพาะเสียงใน Google Duo สำหรับสถานที่เน็ตแย่

Google เพิ่มฟีเจอร์โทรเฉพาะเสียงใน Google Duo สำหรับสถานที่เน็ตแย่

สิ้นสุดการรอคอย Super Mario Run พร้อมให้เล่นในระบบปฏิบัติการ Android แล้ววันนี้

สิ้นสุดการรอคอย Super Mario Run พร้อมให้เล่นในระบบปฏิบัติการ Android แล้ววันนี้

ส่งอีเมล์ให้เพื่อน

ส่งให้เพื่อนหลายคนใส่ “,” (ส่งพร้อมกันมากสุด 50 อีเมล์)

ส่งอีเมล์