Firesheep: un grand besoin réveil

On a beaucoup écrit sur Firesheep , la mesure dans laquelle Eric Butler a agité la scène de sécurité, mais ne serait pas cesser de traiter un sujet que je trouve très intéressant et dont je sais que beaucoup de lecteurs ont des connaissances limitées. En fait, je suggère à mes amis de sécurité par défaut par la pratique d'écrire une FAQ sur le sujet afin de bien référencer correctement, a l'entrée de détails à écrire .

Tout d'abord: dans quelle mesure Firesheep? Il est l'initiative d'un programmeur, Eric Butler, voir les conditions d'insécurité que de nombreux services Web offrent aux utilisateurs: la plupart des services Web s'exécutent via une connexion standard non cryptés, ou tout au plus, que mettre le temps de connexion . Compte tenu de la demande, envoyer une réponse, l'utilisateur envoie votre nom d'utilisateur et mot de passe, l'enregistrement d'un cookie sur l'ordinateur de l'utilisateur et le cookie est utilisé pour toutes les futures demandes. Pour plus de sécurité, le cookie doit être tenu secret, mais dans la plupart des cas, ne se fait pas. Compte tenu de l'extra coût et la complexité de la fourniture de chiffrement pour toutes les communications avec les utilisateurs, les services web optent pour une attitude passive, en mettant leurs utilisateurs à un risque très réel d'abus intentionnel de ces services par des tiers. Le problème , bien sûr, se pose quand un utilisateur se connecte via un WiFi public, et "crier" leur biscuit dans la disposition de toute personne qui obtient juste à écouter. Présentation de Eric à la ToorCon de San Diego, intitulé « Hey, Web 2.0: l'utilisateur commence Protéger la vie privée au lieu de prétendre "est parfaitement clair et éloquent à cet égard, en plus des explications accessibles à tous.

Qu'est-ce que Eric Butler? Il suffit de créer un outil très simple qui, installé sur Firefox, vous permet de contrôler quels utilisateurs sont connectés à une page d'insécurité par le biais d'un réseau ouvert et, une fois situé à l'utilisateur qui nous intéresse, pour saisir les données que vous échangez avec cette page, assurez- connexion que lui, et ainsi, de publier lui comme dans les services. Dans mon cas, j'ai réalisé le danger de la question lorsque j'ai fait une rapide démonstration, une procédure assez simple, rapide et accessible à tous. Avec Firesheep, tout simplement parce que nous ne savons pas tout partagé WiFi. Sauf, bien sûr, nous prenons des précautions, un problème qui arrive à avoir une importance fondamentale.

Il est important de faire valoir Eric Butler: ce qu'il voulait avec son outil n'a pas été de rendre la vie plus facile pour ceux qui savaient déjà faire par d'autres méthodes, ainsi que l'outil rend simple, mais d'attirer l'attention sur un risque évident et de le rendre compréhensible pour les utilisateurs de prendre conscience de cela. Ce que je voulais réaliser, de faire risque tangible ou visible était là. Et dans ce sens, a très bien fait. En fait, des services tels que Hotmail / Live Mail de Microsoft ont déjà annoncé l'adoption précoce de cryptage complet de développement suivants Firesheep et d'autres services devrait l'annoncer bientôt. Gmail offre déjà ce niveau de sécurité depuis Janvier .

«Précautions? Doit les prendre . Vous ne pouvez pas courir le risque que quelqu'un dans le même réseau que vous - que collègue "gentil" une personne qui assiste à la même conférence que vous, quelqu'un qui est dans la même chambre avec vous dans une station essence train ou de l'aéroport, etc. - Capable de connexion que vous sur des sites comme Amazon, Dropbox, Evernote, Facebook, Flickr, Foursquare, Google, Gowalla, Windows Live, Twitter, WordPress, Yahoo et bien d'autres. Les possibilités peut-être quelqu'un en utilisant votre identité dans certains de ces sites vont de l'humour à la dangereuse, selon les intentions que vous pouvez avoir cette personne. Et bien sûr, est quelque chose que vous devriez éviter.

développement Firesheep conduit à la nécessité de mieux comprendre ce que nous faisons lorsque nous connecter à l'Internet dans un réseau ouvert. L'importance, par exemple, de naviguer à travers un VPN, SSL ou pages de demande de connexion qu'il offre et restez à l'écoute pour que le chiffrement est maintenue tout au long de la connexion (Facebook, par exemple, permet d'accéder aux https mais le changement de la connexion http si l'utilisateur, au lieu de recharger toute la page, cliquez sur un lien à l'intérieur).

La leçon est claire: si vous souhaitez vous connecter à des réseaux ouverts sans fil, prendre des précautions. En fait, des précautions doivent pas être limitée à ce type d'environnement: les réseaux physiques sont également sensibles à la capture à l'aide d'autres outils, ce qui augmente le besoin d'aller prendre une prise de conscience de la nécessité de surveiller notre sécurité. Cette dose supplémentaire de prudence que nous sommes obligés de prendre à partir du moment un outil simple est disponible en Firesheep est un petit prix à payer en échange de l'obtention d'un réseau plus sûr. Nous allons agir avec bon sens mieux informés et plus commun sur le réseau. Mais ne vous remettez pas, ne pense pas que "ça ne va pas m'arriver à moi» ou «pour une fois, rien ne se passe» ou «paranoïa qui sont des experts en sécurité." Le risque est réel, existe déjà, et les outils sont disponibles pour tout le monde. Protégez-vous.