Firefox Firesheep: hacker en 15 segundos

Standard

firesheep y cuentas ajenas

SI uno es paranoico con la seguridad en hotspots abiertos, llegó la extensión de Firefox que justifica esa paranoia: Firesheep te permite, en pocas palabras, entrar en un hotspot wifi y al abrir una nueva pestaña de tu navegador ver TODAS las sesiones de Facebook, Twitter y Flickr… en otras palabras hackearlas con un click.

¿Como lo hace? Básicamente aprovecha algo simple… muchos sitios encriptan el envío de usuario/contraseña pero muy pocos encriptan los datos, las cookies que identifican la sesión y que se llama “sidejacking” y que no es dificil de proteger pero que, repito, pocos hacen.

No puedo cansarme de repetirlo, el problema es serio y conocido, pero la gente grita por cosas menos importantes en la web hoy en día y, como dice el desarrollador que presentó Firesheep en ToorCon, están mas preocupados por saber como manejar la privacidad de FB que en exigir SSL forzado.

Tip: ¿querés un remedio rápido para evitar Firesheep?
a) en Gmail forzá el uso de HTTPS desde “settings”
b) Si usás Firefox usá Force-TLS or HTTPS Everywhere
b) Si usás Chrome usá KB SSL enforcer

12 thoughts on “Firefox Firesheep: hacker en 15 segundos

  1. Una pregunta, Me quedo claro q estamos hablando de coockies y de navegadores, pero me surge una duda….

    Apps como Tweetdeck o Seesmic, como hacemos para protegerlas en el inicio de sesion? o no hay peligro aquí?

  2. xeon

    Roger Schultz la respuesta a tu pregunta es sencilla, encripta todas las cookies y asunto solucionado.

    Saludos, cualquier duda dejo mi mail.

  3. Ten en en cuenta que no se puede usar SSL en todo por que hay un costo de CPU en el clinete este costo es ridiculo, pero en el servidor el costo es exponencial al numero de clientes, ese es el motivo por que el solo lo usan al autenticar

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>