Firefox add-on สวมรอยผู้ใช้ Facebook

Firefox add-on สวมรอยผู้ใช้ Facebook

Firefox add-on สวมรอยผู้ใช้ Facebook

Arip

สนับสนุนเนื้อหา

รายงานข่าวล่าสุด โปรแกรมเสริมการทำงาน (aad-on) ที่แจกฟรีสำหรับ Firefox ตัวหนึ่งยอมให้เข้าถึงบัญชีผู้ใช้ และพาสเวิร์ดที่ไดรับการป้องกันในโซเชียลเน็ตเวิร์ก และเว็บไซต์ต่างๆ ได้อย่างง่ายดาย โดยไม่ต้องขโมยรายละเอียดที่ใช้ในการล็อกอินแต่อย่างใด

Eric Butler ผู้สร้าง add-on ชื่อว่า Firexheep ทีทำงานร่วมกับ Firefox เวอร์ชันบน Windows และ Mac OS X หวังว่า สิ่งที่เขาพัฒนาขึ้นมานี้จะทำให้ Facebook และเว็บไซต์อื่นๆ จะได้แก้ไขระบบรักษาความปลอดภัยให้ดีขึ้น ซอฟต์แวรืดังกล่าวได้ถูกเปิดเผยในงานประชุมแฮคเกอร์ Toorcon ที่จัดขึ้นในซานดิเอโกเมื่อวันอาทิตย์ที่ผ่านมา Butler อธิบายว่า Firesheep จะใช้ข้อได้เปรียบของเทคนิค "sidejacking" ในการเข้าถึงช่องโหว่ของการทำงานของระบบรักษาความปลอดภัยบน เว็บไซต์

เมื่อผู้ใช้ล็อกอินเข้าไปในเว็บไซต์ที่มีระบบรักษาความปลอดภัย พวกเขาจะถูกร้องขอให้พิมพ์ username และ password จากนั้นเซิร์ฟเวอร์จะตรวจสอบว่า บัญชีผู้ใช้ตรงกับ username ที่มีอยู่บนเซิร์ฟเวอร์หรือไม่ หากพบว่ามีก็จะตรวจอสบพาสเวิร์ดว่าตรงกัน หรือเปล่า ซึ่งหากคำตอบทั้งสองอันคือ yes เซิร์ฟเวอร์จะส่ง "cookie" กลับไปยังคอมพิวเตอร์ของผู้ใช้ ซึ่งบราวเซอร์จะใช้ข้อมูลที่ระบุตัวตนที่เป็นหนึ่งเดียวนี้ในการร้องขอ ข้อมูลทุกอย่างจากเซิร์ฟเวอร์ด้วยเซสชั่นที่เกิดขึ้น

ปัญหาที Butler ได้ชี้ให้เห็นก็คือ แม้ข้อมูล password และ login จะปลอดภัยเนื่องจากมีการเข้ารหัสขณะส่งไปยังเซิร์ฟเวอร์ แต่ cookies ที่ส่งกลับมาให้คอมพิวเตอร์ของผู้ใช้กลับไม่ได้มีการป้องกันใดๆ ดังนั้น หากแฮคเกอร์สามารถดักจับ "cookie" นั้นได้ เขาก็จะสามารถทำทุกอย่างได้เช่นเดียวกับยูสเซอร์คนนั้น ตราบใดที่เขายังไม่ได้ log-out ออกจากระบบ และหากผู้ใช้ล็อกออนผ่านเครือข่ายไร้สายที่เปิดให้บริการสาธารณะ "cookie" ที่ว่านี้ก็จะกระจายอยู่ในอากาศ ซึ่งทำให้การโจมตีด้วยวิธีดังกล่าวทำได้ง่ายขึ้นไปอีก

เมื่อ แฮคเกอร์ติดตั้ง Firesheep บน Firefox มันจะมีบาร์ด้านข้างโผล่ขึ้นมาในบราวเซอร์ สิ่งที่แฮคเกอร์ต้องทำก็คือ เชื่อต่อเครือข่ายไร้สาย Wi-Fi สาธารณะ และคลิกปุ่ม "Start Capturing" เพื่อเก็บเกี่ยว cookies ของผู้ใช้แถวนั้น และสวมรอยการใช้งานได้ทันที Butler ออกเครื่องมือนี้มา เพื่อแสดงให้เห็นว่า เขาพบช่องโหว่ของระบบรักษาความปลอดภัยที่อันตรายมากๆ และหวังว่า เว็บไซต์ต่างๆ จะได้แก้ไขปัญหานี้ โดยเฉพาะการเข้ารหัส SSL กับบราวเซอร์แบบ end-to-end

" มีการพัฒนาคุณสมบัติสำหรับการรักษาความเป็นส่วนตัว (privacy) ใหม่ๆ ให้กับผู้ใช้ตลอดเวลา เพื่อปลอบใจผู้ใช้ที่รู้สึกไม่แฮปปี้" Butler โพสต์ไว้ในบล็อก "แต่มันไม่ได้มีประโยชน์อันใดเลย ในเมื่อใคร(ที่ใช้ Firesheep หรือใช้ช่องโหว่ดังกล่าว) ก็สามารถแทนที่บัญชีผู้ใช้ได้เต็มๆ"

Facebook & Twitter security FAIL (& how you can stay safe)

application/x-shockwave-flash" width="560">

[อัพเดตเมื่อเวลา 13:25 น. วันที่ 26 ตุลาคม 2553] รายงาน ข่าวล่าสุด ภายใน 24 ชม. มีการดาวน์โหลด Firesheep ปลั๊กอิน"มหาภัย"ไปแล้ว 104,000 ครั้ง โดยคาดว่า น่าจะมาจากแฮคเกอร์ตัวจริง และผู้ใช้ที่อยากทดลองว่า มันทำได้จริง หรือไม่? งานนี้เจ้าตัวผู้พัฒนา เลยทำคลิปสาธิตการทำงานให้เห็นกันจะๆ ไปเลย

ข้อมูลจาก: net-security

Advertisement Replay Ad
เปรียบเทียบกล้องหลังระหว่าง iPhone 8 Plus และ Samsung Galaxy Note 8 กับการใช้งานแบบชีวิดจริง

เปรียบเทียบกล้องหลังระหว่าง iPhone 8 Plus และ Samsung Galaxy Note 8 กับการใช้งานแบบชีวิดจริง

9 เรือธง RAM 6GB พร้อมกล้องคู่ (Dual-Camera) รุ่นใหม่ที่น่าสนใจมากที่สุด ณ ชั่วโมงนี้

9 เรือธง RAM 6GB พร้อมกล้องคู่ (Dual-Camera) รุ่นใหม่ที่น่าสนใจมากที่สุด ณ ชั่วโมงนี้

โตโยต้าเตรียมทดสอบรถไร้คนขับปี 2020 ชูจุดเด่น AI

โตโยต้าเตรียมทดสอบรถไร้คนขับปี 2020 ชูจุดเด่น AI

พบบั๊กใหม่บน iOS 11 เวอร์ชันล่าสุด กดเข้าไปดูรูปภาพภายในเครื่องได้แม้จะล็อคหน้าจออยู่

พบบั๊กใหม่บน iOS 11 เวอร์ชันล่าสุด กดเข้าไปดูรูปภาพภายในเครื่องได้แม้จะล็อคหน้าจออยู่

5 เหตุผลที่ Google Pixel 2 ดีกว่า iPhone 8

5 เหตุผลที่ Google Pixel 2 ดีกว่า iPhone 8

เผยผลทดสอบ Huawei Mate 10 ก็ยังแรงแซง iPhone 8 Plus ไม่ได้อยู่ดี

เผยผลทดสอบ Huawei Mate 10 ก็ยังแรงแซง iPhone 8 Plus ไม่ได้อยู่ดี

7 มือถือเพื่อเกมเมอร์ ในราคาไม่เกิน 10,000 บาท พร้อมเล่นเกมลื่นไหลไม่มีสะดุด

7 มือถือเพื่อเกมเมอร์ ในราคาไม่เกิน 10,000 บาท พร้อมเล่นเกมลื่นไหลไม่มีสะดุด

Google Photos ให้คุณแชร์รูป Live Photos แบบเคลื่อนไหวได้ ไปยังอุปกรณ์ทั้ง PC และ Android

Google Photos ให้คุณแชร์รูป Live Photos แบบเคลื่อนไหวได้ ไปยังอุปกรณ์ทั้ง PC และ Android

รู้จักกับ Romeo Power Saber แบเตอรี่เสริมเพื่อคนติด Notebook

รู้จักกับ Romeo Power Saber แบเตอรี่เสริมเพื่อคนติด Notebook

ส่อง! คุณสมบัติใหม่ๆ และดีไซน์ของ Huawei Mate 10 และ Mate 10 Pro

ส่อง! คุณสมบัติใหม่ๆ และดีไซน์ของ Huawei Mate 10 และ Mate 10 Pro

งามหยด!! ภาพ Concept ของ iPhone 5X สุดยอดมือถือลูกผสม

งามหยด!! ภาพ Concept ของ iPhone 5X สุดยอดมือถือลูกผสม

เช็คจุดถวายดอกไม้จันทน์ทั่วประเทศ ผ่านแอพ Thailand Tourism Map

เช็คจุดถวายดอกไม้จันทน์ทั่วประเทศ ผ่านแอพ Thailand Tourism Map

Logitech เปิดตัว 2 ลำโพงอัจฉริยะ มีนามว่า UE Blast และ MegaBlast

Logitech เปิดตัว 2 ลำโพงอัจฉริยะ มีนามว่า UE Blast และ MegaBlast

ซ่อมง่ายกว่าที่คิด iFixit แกะ Pixel 2 XL ได้คะแนนความง่ายในการซ่อม 6 เต็ม 10

ซ่อมง่ายกว่าที่คิด iFixit แกะ Pixel 2 XL ได้คะแนนความง่ายในการซ่อม 6 เต็ม 10

เมื่อไหร่สมาร์ทโฟนรุ่นเด่นของแต่ละค่ายจะได้ใช้ Android 8.0 Oreo

เมื่อไหร่สมาร์ทโฟนรุ่นเด่นของแต่ละค่ายจะได้ใช้ Android 8.0 Oreo

Samsung Gear S3 Golf Edition เวอร์ชั่นพิเศษ เพื่อคนชอบกีฬาตีกอล์ฟ

Samsung Gear S3 Golf Edition เวอร์ชั่นพิเศษ เพื่อคนชอบกีฬาตีกอล์ฟ

ชมภาพ iPhone X ที่มีการตกแต่งด้วย ทองและเพชร สวยอลังการ ราคาไม่ต้องพูดถึง

ชมภาพ iPhone X ที่มีการตกแต่งด้วย ทองและเพชร สวยอลังการ ราคาไม่ต้องพูดถึง

พบ “รถยนต์ไร้คนขับของ Apple” ดีไซน์ประหลาด : ติดตั้งเซ็นเซอร์ 6 ตัว บนหลังคา

พบ “รถยนต์ไร้คนขับของ Apple” ดีไซน์ประหลาด : ติดตั้งเซ็นเซอร์ 6 ตัว บนหลังคา

อธิบายเหตุผล ทำไม Google Pixel 2/XL จึงถ่ายภาพ Portrait ได้ดีมาก แม้มีกล้องเพียงตัวเดียว

อธิบายเหตุผล ทำไม Google Pixel 2/XL จึงถ่ายภาพ Portrait ได้ดีมาก แม้มีกล้องเพียงตัวเดียว

Foxconn เริ่มจัดส่ง iPhone X ชุดแรกเพียง 46,500 เครื่อง

Foxconn เริ่มจัดส่ง iPhone X ชุดแรกเพียง 46,500 เครื่อง

ส่งอีเมล์ให้เพื่อน

ส่งให้เพื่อนหลายคนใส่ “,” (ส่งพร้อมกันมากสุด 50 อีเมล์)

ส่งอีเมล์