[Wien] Ist Funkfeuer davon betroffen?

Bernd Petrovitsch (spam-protected)
Do Okt 28 12:42:00 CEST 2010 

Hi!

On Don, 2010-10-28 at 10:51 +0200, Ralf Schlatterbeck wrote: 
> On Wed, Oct 27, 2010 at 11:06:07PM +0200, Alexander wrote:
> > Hallo
> > On Wed, 27 Oct 2010 20:46:00 +0200, Christoph Schnedl
> > <(spam-protected)>

Magst das TOFU-mailen nicht abstellen?

> > wrote:
> > > Will ich die Facebook-Idendität meines linken Nachbarn mit Chello 
> > > klauen, müsste ich jemanden bei Chello bestechen => schwierig

Müßte man mal schauen, was passiert, wenn man auf andere ARP-Requests
passend antwortet .....

> > > Will ich die Facebook-Idendität meines rechten Nachbarn mit 0xff klauen, 
> > > muss ich nur das Addon installieren => easy

Geht das so einfach?

> > Schlechtes Beispeil. Soweit ich das als nicht Nutzer feststellen kann,
> > läuft facebook über https:
> > https://login.facebook.com/login.php?login_attempt=1
> 
> Für das login. Danach wird m.W. das Session Cookie über http
> gesendet. Und genau das ist der Angriffspunkt von Firesheep.
> Es snifft die Session cookies nicht das Passwort.
> 
> Und das ist für Facebook (und Twitter) nicht ganz einfach zu fixen, weil
> SSL auf die IP-Adresse geht und nicht auf die Domain. Und dann ist ein

Naja, der Apache kann auch schon des längerem (name-based)
http-1.1-over-ssl. Man muß halt die CSRs entsprechend machen ...

> Setup mit vielen Servern nicht mehr ganz einfach. Und ich würde nicht
> unterschätzen, welche Serverlast der komplett verschlüsselte Zugriff
> macht bei Übertragungsbandbreiten von Facebook...

Das kann mbMn mit passender Hardware erschlagen - z.B. gibt es Load
Balancer/Webproxies, die vorne https machen und intern nur http (genau
aus diesem Grund - die Rechenlast von den App-Servern zu nehmen indem
sie selber Spezial-Hardware mitbringen, die das macht).
Und wenn das einer der bessere LBs ist, dann sollte/kann/wird der
Verkehr von einer IP-Adresse immer zum selben Backend-Server schicken
(können).
Das macht dort das Leben auch leichter (weil hinter den Web/App-Servern
gibt es oft noch DB-Server, Fileserver u.ä. Von der schlecht
implementierten (Custom-)PHP-Applikation, die über lokale Files in /tmp
o.ä. mit sich selber kommunziert, mal ganz zu schweigen).
Voila.
BTW glaube ich auch nicht, daß Facebook (und Twitter und ...) vorne
keine Hardware-LBs haben.

Netto haben die mbMn kein Problem, das nicht -zig andere auch haben. OK,
Facebook, Twitter, Youtube ... mögen es in anderen Größenordnungen
haben.
Aber selbst der durchschnittliche Webservice-Anbieter (z.B. Hoster von
vielen Webshops, ....) wird ohne obiges Problem zu "lösen" mbMn nicht
weit kommen.
Und *trivial* ist das Problem trotz allem nicht.

> Eine andere Möglichkeit wäre wohl, das Session Cookie von der
> zugreifenden IP abhängig zu machen...

Yup. Mir fallen nur wenige Gründe ein, wo das nicht funktionieren wird -
so a la "alle 24h bekommt man neue IP-Adresse nach außen". Aber dann muß
man sich "nur" neu einloggen - und für *die* Leute wird das ein eher
übliches Problem sein.

> Also hier bitte keinen falschen Eindruck vermitteln, dass das Problem eh
> nicht besteht. Es besteht seit Jahren und jetzt gibt es ein einfach zu
> benutzendes GUI dafür. Wer bisher mit Wireshark umgehen konnte, konnte
> auch schon immer Session Cookies sniffen, die Lücke ist uralt. Das ist
> auch die Aussage des "Standard" Artikels: Jetzt können es "Dummies"
> auch.

Da bekommt "full disclosure" eine neue Steigerungsstufe:
DAU/Muggel/Script-Kiddie-kompatibles Full Disclosure.
SCNR ....
Bernd
-- 
Bernd Petrovitsch                  Email : (spam-protected)
                     LUGA : http://www.luga.at

Mehr Informationen über die Mailingliste Wien