HOW2.work

ホーム ソーシャルメディア ソーシャルネットワーク フェイスブック セッションハイジャックから安全を保つ方法

セッションハイジャックから安全を保つ方法

in
過去数か月にわたって、私たちは Facebook や Amazon を含む多くの大規模 Web サイトに存在する重大な Web 脆弱性に突然気づきました。
セッションハイジャックから安全を保つ方法
この脆弱性は常に存在していましたが、Eric Butler という人が Firesheep という Firefox 拡張機能を作成して、その恐ろしさを強調しました。マウスを 1 回クリックするだけで、彼らが使用する多くの Web サイトで誰かになりすますことができます。彼らがそれらにアクセスしたとき。
まず明確にしておきたいのは、Web サイトで SSL が使用されていれば、非常に安全であるということです。
主な問題は、Web サイトがログイン ユーザーを識別するために Cookie を使用しており、これらのキーも他のキーと同様にコピーされ、偽造される可能性があることです。
これは新しいことではなく、ログインを必要とする Web サイトで機能するほぼ唯一の賢明な方法です (はい、呼び出し元の URL に文字列を追加できますが、一般的な慣行には不便です)。
SSLの使用
この問題は、Web サイトがサーバーとクライアント間の通信に SSL を採用していない場合に発生します。そのため、同じワイヤレス ネットワーク上の他のユーザーがトラフィックを傍受し、Cookie に含まれるデータを読み取って、ログイン ユーザーになりすますことができます。
ユーザーが接続している Web サイトによっては、そのユーザーとしてトランザクションを実行できるだけでなく、メッセージを読んだり、パスワードを変更したりして、アカウントからロックアウトできることを意味する場合があります。
まず明確にしておくべきことは、Web サイトが SSL を使用している場合、つまり、接続が http://sitename.com ではなく https://sitename.com としてアドレス バーに表示される場合、非常に安全であるということです。 。
SSL はサーバーとブラウザ間のすべてのトラフィックを暗号化するため、データが傍受された場合でも復号化する必要があり、実行するには時間がかかりすぎます。
したがって、コーヒー ショップに座っているときに無料 Wi-Fi を使用して銀行口座に接続するのは問題ありません (あるいは、この特定の攻撃モードに対して無防備であると言ったほうがよいかもしれません)。
問題は、多くのサイトが SSL を使用していないか、ログイン ページ (サイトの他の部分では使用していない) でのみ SSL を使用しており、保護されていないすべてのページが潜在的に脆弱であることです。
ここで、サイトがログイン ページにのみ SSL を使用し、サイトの残りの部分には使用しない理由を明確にするために少し時間を割いてみる価値があります。長い間、すべての賢明なサイトは、ユーザーがログインするたびに SSL を使用して、ユーザーのユーザー名とパスワードを暗号化し、パケットを傍受している人がそれらの資格情報を取得するのを防止してきました。

もっと詳しく知る

常に SSL を使用しないのはなぜですか?
問題は、多くの場合、これが暗号化される唯一のページであるため、データがクリア テキストでネットワーク上を通過し、簡単に傍受される可能性があることです。保護されていないデータには、サーバーに対してユーザーを認証する Cookie が含まれています。
「セッション ハイジャック」として知られるこの攻撃には、キャプチャされた Cookie の分析、ユーザーがサーバーに対してどのように認証されているかを解明し、その情報を使用してそのユーザーになりすますことが含まれます。これは、基本的に、Cookie のわずかに変更されたバージョンをサーバーに送り返すことによって行われます。サーバ。その後、サーバーは知らず知らずのうちにハイジャッカーが認証されたユーザーであると思い込み、ユーザーのデータを喜んで送信します。
数秒でファイアシープ
Firesheep を初めて使用するときは、そのような悪意のある行為がいかに簡単に実行できるかを知るのが恐ろしいでしょう。
ダウンロードとインストールには数秒しかかかりません。次に、Firefox を再起動し、[表示] | [表示] に移動します。サイドバー | Firesheep、サイドバーが表示されます。この下部で [設定] を選択し、どのネットワーク インターフェイスからデータを収集するかをプログラムに指示します。
通常、これがワイヤレス インターフェイスになります。次に、「キャプチャ開始」をクリックして、人々のデータが表示されるのを待ちます。同じネットワーク上の誰かが Firesheep が知っているサイトに接続すると、アイコンが表示され、通常はその人の名前とサイトの名前が表示されます。それをダブルクリックすると、新しいブラウザ ウィンドウが表示され、そのユーザーと同じサイトにログインした状態になります。
これをホーム ネットワークで (WPA で暗号化されていない限り) 試してみることもできますし、ラップトップを持って地元のコーヒー ショップに行き、そこで試してみることもできます (ただし、言うまでもなく、実際にはすべきではありません)誰かのセッションをハイジャックします)。

「セッションハイジャックから安全を保つ方法」に関するベスト動画選定!

【#18 HTTP セッションステートレス問題】Cookie セキュリティのお勉強
セッションハイジャック(Webセキュリティ対策#4)
過去数か月にわたって、私たちは Facebook や Amazon を含む多くの大規模 Web サイトに存在する重大な Web 脆弱性に突然気づきました。
セッションハイジャックから安全を保つ方法
この脆弱性は常に存在していましたが、Eric Butler という人が Firesheep という Firefox 拡張機能を作成して、その恐ろしさを強調しました。マウスを 1 回クリックするだけで、彼らが使用する多くの Web サイトで誰かになりすますことができます。彼らがそれらにアクセスしたとき。
まず明確にしておきたいのは、Web サイトで SSL が使用されていれば、非常に安全であるということです。
主な問題は、Web サイトがログイン ユーザーを識別するために Cookie を使用しており、これらのキーも他のキーと同様にコピーされ、偽造される可能性があることです。
これは新しいことではなく、ログインを必要とする Web サイトで機能するほぼ唯一の賢明な方法です (はい、呼び出し元の URL に文字列を追加できますが、一般的な慣行には不便です)。
SSLの使用
この問題は、Web サイトがサーバーとクライアント間の通信に SSL を採用していない場合に発生します。そのため、同じワイヤレス ネットワーク上の他のユーザーがトラフィックを傍受し、Cookie に含まれるデータを読み取って、ログイン ユーザーになりすますことができます。
ユーザーが接続している Web サイトによっては、そのユーザーとしてトランザクションを実行できるだけでなく、メッセージを読んだり、パスワードを変更したりして、アカウントからロックアウトできることを意味する場合があります。
まず明確にしておくべきことは、Web サイトが SSL を使用している場合、つまり、接続が http://sitename.com ではなく https://sitename.com としてアドレス バーに表示される場合、非常に安全であるということです。 。
SSL はサーバーとブラウザ間のすべてのトラフィックを暗号化するため、データが傍受された場合でも復号化する必要があり、実行するには時間がかかりすぎます。
したがって、コーヒー ショップに座っているときに無料 Wi-Fi を使用して銀行口座に接続するのは問題ありません (あるいは、この特定の攻撃モードに対して無防備であると言ったほうがよいかもしれません)。
問題は、多くのサイトが SSL を使用していないか、ログイン ページ (サイトの他の部分では使用していない) でのみ SSL を使用しており、保護されていないすべてのページが潜在的に脆弱であることです。
ここで、サイトがログイン ページにのみ SSL を使用し、サイトの残りの部分には使用しない理由を明確にするために少し時間を割いてみる価値があります。長い間、すべての賢明なサイトは、ユーザーがログインするたびに SSL を使用して、ユーザーのユーザー名とパスワードを暗号化し、パケットを傍受している人がそれらの資格情報を取得するのを防止してきました。

もっと詳しく知る

常に SSL を使用しないのはなぜですか?
問題は、多くの場合、これが暗号化される唯一のページであるため、データがクリア テキストでネットワーク上を通過し、簡単に傍受される可能性があることです。保護されていないデータには、サーバーに対してユーザーを認証する Cookie が含まれています。
「セッション ハイジャック」として知られるこの攻撃には、キャプチャされた Cookie の分析、ユーザーがサーバーに対してどのように認証されているかを解明し、その情報を使用してそのユーザーになりすますことが含まれます。これは、基本的に、Cookie のわずかに変更されたバージョンをサーバーに送り返すことによって行われます。サーバ。その後、サーバーは知らず知らずのうちにハイジャッカーが認証されたユーザーであると思い込み、ユーザーのデータを喜んで送信します。
数秒でファイアシープ
Firesheep を初めて使用するときは、そのような悪意のある行為がいかに簡単に実行できるかを知るのが恐ろしいでしょう。
ダウンロードとインストールには数秒しかかかりません。次に、Firefox を再起動し、[表示] | [表示] に移動します。サイドバー | Firesheep、サイドバーが表示されます。この下部で [設定] を選択し、どのネットワーク インターフェイスからデータを収集するかをプログラムに指示します。
通常、これがワイヤレス インターフェイスになります。次に、「キャプチャ開始」をクリックして、人々のデータが表示されるのを待ちます。同じネットワーク上の誰かが Firesheep が知っているサイトに接続すると、アイコンが表示され、通常はその人の名前とサイトの名前が表示されます。それをダブルクリックすると、新しいブラウザ ウィンドウが表示され、そのユーザーと同じサイトにログインした状態になります。
これをホーム ネットワークで (WPA で暗号化されていない限り) 試してみることもできますし、ラップトップを持って地元のコーヒー ショップに行き、そこで試してみることもできます (ただし、言うまでもなく、実際にはすべきではありません)誰かのセッションをハイジャックします)。

「セッションハイジャックから安全を保つ方法」に関するベスト動画選定!

【#18 HTTP セッションステートレス問題】Cookie セキュリティのお勉強
セッションハイジャック(Webセキュリティ対策#4)

最新記事一覧