Firefox add-on สวมรอยผู้ใช้ Facebook

Firefox add-on สวมรอยผู้ใช้ Facebook

Firefox add-on สวมรอยผู้ใช้ Facebook

Arip

สนับสนุนเนื้อหา

รายงานข่าวล่าสุด โปรแกรมเสริมการทำงาน (aad-on) ที่แจกฟรีสำหรับ Firefox ตัวหนึ่งยอมให้เข้าถึงบัญชีผู้ใช้ และพาสเวิร์ดที่ไดรับการป้องกันในโซเชียลเน็ตเวิร์ก และเว็บไซต์ต่างๆ ได้อย่างง่ายดาย โดยไม่ต้องขโมยรายละเอียดที่ใช้ในการล็อกอินแต่อย่างใด

Eric Butler ผู้สร้าง add-on ชื่อว่า Firexheep ทีทำงานร่วมกับ Firefox เวอร์ชันบน Windows และ Mac OS X หวังว่า สิ่งที่เขาพัฒนาขึ้นมานี้จะทำให้ Facebook และเว็บไซต์อื่นๆ จะได้แก้ไขระบบรักษาความปลอดภัยให้ดีขึ้น ซอฟต์แวรืดังกล่าวได้ถูกเปิดเผยในงานประชุมแฮคเกอร์ Toorcon ที่จัดขึ้นในซานดิเอโกเมื่อวันอาทิตย์ที่ผ่านมา Butler อธิบายว่า Firesheep จะใช้ข้อได้เปรียบของเทคนิค "sidejacking" ในการเข้าถึงช่องโหว่ของการทำงานของระบบรักษาความปลอดภัยบน เว็บไซต์

เมื่อผู้ใช้ล็อกอินเข้าไปในเว็บไซต์ที่มีระบบรักษาความปลอดภัย พวกเขาจะถูกร้องขอให้พิมพ์ username และ password จากนั้นเซิร์ฟเวอร์จะตรวจสอบว่า บัญชีผู้ใช้ตรงกับ username ที่มีอยู่บนเซิร์ฟเวอร์หรือไม่ หากพบว่ามีก็จะตรวจอสบพาสเวิร์ดว่าตรงกัน หรือเปล่า ซึ่งหากคำตอบทั้งสองอันคือ yes เซิร์ฟเวอร์จะส่ง "cookie" กลับไปยังคอมพิวเตอร์ของผู้ใช้ ซึ่งบราวเซอร์จะใช้ข้อมูลที่ระบุตัวตนที่เป็นหนึ่งเดียวนี้ในการร้องขอ ข้อมูลทุกอย่างจากเซิร์ฟเวอร์ด้วยเซสชั่นที่เกิดขึ้น

ปัญหาที Butler ได้ชี้ให้เห็นก็คือ แม้ข้อมูล password และ login จะปลอดภัยเนื่องจากมีการเข้ารหัสขณะส่งไปยังเซิร์ฟเวอร์ แต่ cookies ที่ส่งกลับมาให้คอมพิวเตอร์ของผู้ใช้กลับไม่ได้มีการป้องกันใดๆ ดังนั้น หากแฮคเกอร์สามารถดักจับ "cookie" นั้นได้ เขาก็จะสามารถทำทุกอย่างได้เช่นเดียวกับยูสเซอร์คนนั้น ตราบใดที่เขายังไม่ได้ log-out ออกจากระบบ และหากผู้ใช้ล็อกออนผ่านเครือข่ายไร้สายที่เปิดให้บริการสาธารณะ "cookie" ที่ว่านี้ก็จะกระจายอยู่ในอากาศ ซึ่งทำให้การโจมตีด้วยวิธีดังกล่าวทำได้ง่ายขึ้นไปอีก

เมื่อ แฮคเกอร์ติดตั้ง Firesheep บน Firefox มันจะมีบาร์ด้านข้างโผล่ขึ้นมาในบราวเซอร์ สิ่งที่แฮคเกอร์ต้องทำก็คือ เชื่อต่อเครือข่ายไร้สาย Wi-Fi สาธารณะ และคลิกปุ่ม "Start Capturing" เพื่อเก็บเกี่ยว cookies ของผู้ใช้แถวนั้น และสวมรอยการใช้งานได้ทันที Butler ออกเครื่องมือนี้มา เพื่อแสดงให้เห็นว่า เขาพบช่องโหว่ของระบบรักษาความปลอดภัยที่อันตรายมากๆ และหวังว่า เว็บไซต์ต่างๆ จะได้แก้ไขปัญหานี้ โดยเฉพาะการเข้ารหัส SSL กับบราวเซอร์แบบ end-to-end

" มีการพัฒนาคุณสมบัติสำหรับการรักษาความเป็นส่วนตัว (privacy) ใหม่ๆ ให้กับผู้ใช้ตลอดเวลา เพื่อปลอบใจผู้ใช้ที่รู้สึกไม่แฮปปี้" Butler โพสต์ไว้ในบล็อก "แต่มันไม่ได้มีประโยชน์อันใดเลย ในเมื่อใคร(ที่ใช้ Firesheep หรือใช้ช่องโหว่ดังกล่าว) ก็สามารถแทนที่บัญชีผู้ใช้ได้เต็มๆ"

Facebook & Twitter security FAIL (& how you can stay safe)

application/x-shockwave-flash" width="560">

[อัพเดตเมื่อเวลา 13:25 น. วันที่ 26 ตุลาคม 2553] รายงาน ข่าวล่าสุด ภายใน 24 ชม. มีการดาวน์โหลด Firesheep ปลั๊กอิน"มหาภัย"ไปแล้ว 104,000 ครั้ง โดยคาดว่า น่าจะมาจากแฮคเกอร์ตัวจริง และผู้ใช้ที่อยากทดลองว่า มันทำได้จริง หรือไม่? งานนี้เจ้าตัวผู้พัฒนา เลยทำคลิปสาธิตการทำงานให้เห็นกันจะๆ ไปเลย

ข้อมูลจาก: net-security

Android ครองตลาดสมาร์ทโฟน 877 ในไตรมาสที่ 2

Android ครองตลาดสมาร์ทโฟน 877 ในไตรมาสที่ 2

Nokia เผยนวัตกรรมใหม่ ยกระดับความปลอดภัยโครงข่ายที่จำเป็นสำหรับยุค Cloud และ IoT

Nokia เผยนวัตกรรมใหม่ ยกระดับความปลอดภัยโครงข่ายที่จำเป็นสำหรับยุค Cloud และ IoT

พบเว็บกองบังคับการสืบสวนสอบสวนตำรวจภูธรภาค 6 นำข้อมูลประชาชนเผยแพร่สู่สาธารณะ

พบเว็บกองบังคับการสืบสวนสอบสวนตำรวจภูธรภาค 6 นำข้อมูลประชาชนเผยแพร่สู่สาธารณะ

พริบตาเดียว สื่อกิมจิคาด iPhone 8 มาพร้อมสแกนใบหน้า 3 มิติความเร็วระดับ หนึ่งในล้านวินาที

พริบตาเดียว สื่อกิมจิคาด iPhone 8 มาพร้อมสแกนใบหน้า 3 มิติความเร็วระดับ หนึ่งในล้านวินาที

ลัมโบร์กีนี Lamborghini เปิดตัว Alpha-One สมาร์ทโฟนสุดหรู ราคาแพงไม่แพ้รถยนต์

ลัมโบร์กีนี Lamborghini เปิดตัว Alpha-One สมาร์ทโฟนสุดหรู ราคาแพงไม่แพ้รถยนต์

สื่อนอกแย้ม Samsung Galaxy S9 อาจมาพร้อมดีไซน์ถอดประกอบเองได้

สื่อนอกแย้ม Samsung Galaxy S9 อาจมาพร้อมดีไซน์ถอดประกอบเองได้

LG ปล่อยทีเซอร์บลัฟ Galaxy Note 8 แถมบอกใบ้ LG V30 มาพร้อมปากกาสไตลัส มีคลิป

LG ปล่อยทีเซอร์บลัฟ Galaxy Note 8 แถมบอกใบ้ LG V30 มาพร้อมปากกาสไตลัส มีคลิป

Samsung Galaxy Note 8 เผยโฉม อย่างเป็นทางการแล้ววันนี้

Samsung Galaxy Note 8 เผยโฉม อย่างเป็นทางการแล้ววันนี้

ไม่อัปไม่ให้บิน DJI เตรียมปล่อย Firmware ใหม่ให้กับ DJI Spark ก่อนจะอดบินตลอดกาล

ไม่อัปไม่ให้บิน DJI เตรียมปล่อย Firmware ใหม่ให้กับ DJI Spark ก่อนจะอดบินตลอดกาล

iPhone 8 อาจมากับระบบสแกนใบหน้า 3 มิติที่สแกนได้ในพริบตาเพียง "1 ในล้านวินาที" เท่านั้น

iPhone 8 อาจมากับระบบสแกนใบหน้า 3 มิติที่สแกนได้ในพริบตาเพียง "1 ในล้านวินาที" เท่านั้น

รู้ยัง # หรือ Hastag มีการใช้งานมาครบ 10 ปีแล้ว

รู้ยัง # หรือ Hastag มีการใช้งานมาครบ 10 ปีแล้ว

เปิดตัว Galaxy Note 8 หน้าจอไร้ขอบพร้อมกล้องคู่และ S Pen ที่ฉลาดกว่าเดิมมาก

เปิดตัว Galaxy Note 8 หน้าจอไร้ขอบพร้อมกล้องคู่และ S Pen ที่ฉลาดกว่าเดิมมาก

ทีเซอร์แรก Huawei Mate 10 เผยประสิทธิภาพกล้องใหม่ของ Leica

ทีเซอร์แรก Huawei Mate 10 เผยประสิทธิภาพกล้องใหม่ของ Leica

เผยภาพโมดูลกล้องถ่ายภาพ 3 มิติ ที่จะนำมาใช้กับ iPhone 8 รุ่นใหม่ อาจจะได้ทั้งหน้าและหลัง

เผยภาพโมดูลกล้องถ่ายภาพ 3 มิติ ที่จะนำมาใช้กับ iPhone 8 รุ่นใหม่ อาจจะได้ทั้งหน้าและหลัง

iStudio ประกาศลดราคาล้างสต็อก สาขาเซนทรัลพระราม 3 ก่อนปิดปรับปรุงถึง 27 สิงหาคมนี้

iStudio ประกาศลดราคาล้างสต็อก สาขาเซนทรัลพระราม 3 ก่อนปิดปรับปรุงถึง 27 สิงหาคมนี้

มาอย่างไว โปรโมชั่นจอง Nokia 8 ในประเทศไทย เริ่มขึ้นแล้ว

มาอย่างไว โปรโมชั่นจอง Nokia 8 ในประเทศไทย เริ่มขึ้นแล้ว

[Startup] 10 บริษัท Startup และเทคฯ ที่คนรุ่นใหม่อยากทำงานด้วยมากที่สุด

[Startup] 10 บริษัท Startup และเทคฯ ที่คนรุ่นใหม่อยากทำงานด้วยมากที่สุด

Google ประกาศชื่อ Android เวอร์ชั่นล่าสุด Oreo  คาดว่า Pixel และ Nexus จะได้อัปเดทก่อน

Google ประกาศชื่อ Android เวอร์ชั่นล่าสุด Oreo คาดว่า Pixel และ Nexus จะได้อัปเดทก่อน

Huawei Mate 10 เผยทีเซอร์แรก ยืนยันมาพร้อมกล้องคู่ Leica แน่นอน!

Huawei Mate 10 เผยทีเซอร์แรก ยืนยันมาพร้อมกล้องคู่ Leica แน่นอน!

เผยข้อมูลล่าสุด iPhone 8 มีสแกนนิ้วที่ด้านหลังตัวเครื่อง มีวิดีโอให้ดู

เผยข้อมูลล่าสุด iPhone 8 มีสแกนนิ้วที่ด้านหลังตัวเครื่อง มีวิดีโอให้ดู

ส่งอีเมล์ให้เพื่อน

ส่งให้เพื่อนหลายคนใส่ “,” (ส่งพร้อมกันมากสุด 50 อีเมล์)

ส่งอีเมล์