[Wien] Ist Funkfeuer davon betroffen?

[Ralf Schlatterbeck]

On Wed, Oct 27, 2010 at 11:06:07PM +0200, Alexander wrote:
> Hallo
> On Wed, 27 Oct 2010 20:46:00 +0200, Christoph Schnedl
> <(spam-protected)>
> wrote:
> > Will ich die Facebook-Idendität meines linken Nachbarn mit Chello 
> > klauen, müsste ich jemanden bei Chello bestechen => schwierig
> > 
> > Will ich die Facebook-Idendität meines rechten Nachbarn mit 0xff klauen, 
> > muss ich nur das Addon installieren => easy
> Schlechtes Beispeil. Soweit ich das als nicht Nutzer feststellen kann,
> läuft facebook über https:
> https://login.facebook.com/login.php?login_attempt=1

Für das login. Danach wird m.W. das Session Cookie über http
gesendet. Und genau das ist der Angriffspunkt von Firesheep.
Es snifft die Session cookies nicht das Passwort.

Und das ist für Facebook (und Twitter) nicht ganz einfach zu fixen, weil
SSL auf die IP-Adresse geht und nicht auf die Domain. Und dann ist ein
Setup mit vielen Servern nicht mehr ganz einfach. Und ich würde nicht
unterschätzen, welche Serverlast der komplett verschlüsselte Zugriff
macht bei Übertragungsbandbreiten von Facebook...

Eine andere Möglichkeit wäre wohl, das Session Cookie von der
zugreifenden IP abhängig zu machen...

Also hier bitte keinen falschen Eindruck vermitteln, dass das Problem eh
nicht besteht. Es besteht seit Jahren und jetzt gibt es ein einfach zu
benutzendes GUI dafür. Wer bisher mit Wireshark umgehen konnte, konnte
auch schon immer Session Cookies sniffen, die Lücke ist uralt. Das ist
auch die Aussage des "Standard" Artikels: Jetzt können es "Dummies"
auch.

Ralf
-- 
Ralf Schlatterbeck             email: (spam-protected)