セッションハイジャックツールFiresheepと対抗アドオンBlacksheepを検証してみた | Security.GS Magazine
半月~ひと月ほど前でしょうか、FiresheepというHTTPセッションハイジャックを行うFirefoxアドオンが話題になりました。 同じような攻撃は以前から可能でしたが、ブラウザのアドオンとして手軽に行えるツールは初めてではないでしょうか。 作者のEric Butler氏は、人々にセッションハイジャックのリスクを理解させるために”One-click session hijacking”ツールを公開したと述べています。 http://codebutler.github.com/firesheep/tc12/ ということでFiresheepの検証、それに対抗するアドオンとして公開されたBlackSheepなどを試してみました。 また、Blacksheepに検知されない方法も考えてみました。 実験 Firesheepの検証 BlackSheepの検証 Blacksheep対策 FireShep
HTTPセッションハイジャック対策のアドバイス、Mozillaセキュリティ | エンタープライズ | マイコミジャーナル
Firefox web browser - Faster, more secure & customizable Firefoxのエクステンションとして公開されたHTTPセッションハイジャックツールFiresheepは、オープンワイヤレスネットワークからインターネットを利用する場合、いかに簡単にクッキーを傍受して他人になりすますことが可能かを示すことになった。WebサービスやWebアプリの提供側と、それを利用するユーザの双方がこの問題を意識し改善に取り組んでいく必要がある。 そしたアドバイスのひとつとしてMozilla Security BlogにおいてCooling Down the Firesheepという記事が掲載された。オープンワイヤレスネットワークであっても通信が最初から最後まですべてHTTPSである限り、そう簡単にクッキーは傍受されない。このため、サイト側からブラウザへHTTP
アカウントを乗っ取るFirefoxの拡張機能が公開 大手サイトの実態に警鐘
TwitterやFacebookなどの人気サイトで他人のアカウントを乗っ取ることができてしまうという。 TwitterやFacebookなどの人気サイトで他人のアカウントを乗っ取ることができてしまうFirefoxの拡張機能「Firesheep」をセキュリティ研究者が公表した。大手のWebサイトがユーザー保護の責任を果たしていない実態に警鐘を鳴らすのが狙いだとしている。 Firesheepは米国のWebアプリケーション開発者、エリック・バトラー氏が先の週末にセキュリティカンファレンスのToorcon 12で披露した。同氏はその背景について「Webサイトは一般的に、ログインの際にはパスワードを暗号化してユーザーを保護しているが、それ以外のものは何も暗号化されていないのが普通だ。攻撃者がHTTPセッションの乗っ取りによってユーザーのcookieを入手してしまえば、特定のWebサイトでそのユーザー
エフセキュアブログ : 「Firesheep」:複雑だったことを容易にするツール
「Firesheep」:複雑だったことを容易にするツール 2010年10月25日23:12 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン 暗号化されていないHTTP接続でWebをサーフィンすることは安全ではない。特にあなたが、暗号化されていないWi-Fi接続を介してサーフィンしている場合は。同じホットスポットを使用している他の誰でも、あなたのトラフィックをモニタするための特別なツールを使用することができるからだ。 暗号化されたHTTPS接続によりWebをサーフィンする方がはるかに良い。強力な暗号化(WPA2)を使用したホットスポットの利用も安全だ。しかし、これらのオプションは通常、エンドユーザが決められることではない。大部分のオープンなホットスポットは、まったく暗号化していないし、多くのポピュラーなサイトは、たとえあったとしても、ログイン手続きにHTTP
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://jp.techcrunch.com/2010/10/26/20101025firesheep/
