Новости и публикации / Архив (Security)

Удивительные возможности нового плагина Firefox: почувствуй себя настоящим хакером

Опубликовано: 28 октября 2010,  Автор: Иван Ветров

Многочисленные возможности интересных и полезных плагинов для Firefox отлично известны пользователям этого браузера. А недавно коллекция плагинов пополнилась довольно неожиданным экземпляром. Новый плагин был представлен Эриком Батлером, независимым разработчиком, на конференции по компьютерной безопасности ToorCon12. C помощью плагина Firesheep, работая в открытой беспроводной сети, пользователь может получить список других людей, которые работают в этой сети и при этом посещают популярные социальные сервисы. Интересно, что плагин позволяет получить не только имена пользователей, но и пароли. Несложно догадаться, что, обладая подобной информацией, предприимчивый обладатель чудо-плагина может легко зайти на сайт Facebook или на Twitter под чужим именем.

Подобные возможности плагина объясняются тем, что в системе безопасности большинства социальных сервисов имеется уязвимость под названием Sidejacking. Проявляется она следующим образом: когда пользователь вводит свои учетные данные, сервер после проверки посылает пользователю cookie-файл, что позволяет продолжить работу на сайте. Информация, которую вводит пользователь, шифруется, однако, cookie пересылаются незащищенными. Таким образом, перехватить их в открытой сети оказывается совсем несложно. Именно эту уязвимость хотел продемонстрировать Батлер, создавая свой плагин. Как говорит сам Батлер, он хотел привлечь внимание к той опасности, которой подвергаются многочисленные пользователи социальных сетей.

Судя по всему, своей цели он достиг: плагин скачало около 129 тысяч человек только в первые сутки после его появления в Сети. А запрос "Firesheep" стал одним из 10 самых популярных запросов американского Google.