Denken Über El weblog de Mariano Amartino donde escribo sobre tecnología, estrategias y cosas de internet.

Hace 3 años

Firefox Firesheep: hacker en 15 segundos

firesheep y cuentas ajenas

SI uno es paranoico con la seguridad en hotspots abiertos, llegó la extensión de Firefox que justifica esa paranoia: Firesheep te permite, en pocas palabras, entrar en un hotspot wifi y al abrir una nueva pestaña de tu navegador ver TODAS las sesiones de Facebook, Twitter y Flickr… en otras palabras hackearlas con un click.

¿Como lo hace? Básicamente aprovecha algo simple… muchos sitios encriptan el envío de usuario/contraseña pero muy pocos encriptan los datos, las cookies que identifican la sesión y que se llama “sidejacking” y que no es dificil de proteger pero que, repito, pocos hacen.

No puedo cansarme de repetirlo, el problema es serio y conocido, pero la gente grita por cosas menos importantes en la web hoy en día y, como dice el desarrollador que presentó Firesheep en ToorCon, están mas preocupados por saber como manejar la privacidad de FB que en exigir SSL forzado.

Tip: ¿querés un remedio rápido para evitar Firesheep?
a) en Gmail forzá el uso de HTTPS desde “settings”
b) Si usás Firefox usá Force-TLS or HTTPS Everywhere
b) Si usás Chrome usá KB SSL enforcer

8 comentarios por ahora

pablotossi

cabe destacar que la fonera es inmune a ese hack ;)

Roger Schultz

Una pregunta, Me quedo claro q estamos hablando de coockies y de navegadores, pero me surge una duda….

Apps como Tweetdeck o Seesmic, como hacemos para protegerlas en el inicio de sesion? o no hay peligro aquí?

mariano

eso depende del manejo de la aplicación y si sus datos se quedan en la App o como se comunican.. o sea, ni idea ;)

Diego

Ufff… si esto funciona mañana me voy a divertir un rato en la oficina : P

xeon

Roger Schultz la respuesta a tu pregunta es sencilla, encripta todas las cookies y asunto solucionado.

Saludos, cualquier duda dejo mi mail.

jonathan

muy buena la extension pero la habilite y todo y no me sale nada, me ayuda alguien por favor?

Saludos

Last Dragon

Ten en en cuenta que no se puede usar SSL en todo por que hay un costo de CPU en el clinete este costo es ridiculo, pero en el servidor el costo es exponencial al numero de clientes, ese es el motivo por que el solo lo usan al autenticar