Du måste göra inställningen själv. Gör så här:
- Klicka på Konto uppe till höger
- Välj Kontoinställningar
- Klicka på Kontosäkerhet på sidan som öppnats
- Kryssa i "Säker anslutning (https)"
- Klicka på den blå knappen "Spara".
Visar inlägg med etikett Facebook. Visa alla inlägg
Visar inlägg med etikett Facebook. Visa alla inlägg
fredag 4 februari 2011
Facebook-inställning för HTTPS
Facebook erbjuder nu en ny säkerhetsinställning – "Säker anslutning (https)". Antagligen en reaktion på "Firesheep" som uppmärksammades stort i höstas. Inte alla svenska Facebookanvändare kan göra den nya inställningen än eftersom Facebook lanserar det stegvis.
Du måste göra inställningen själv. Gör så här:
Du måste göra inställningen själv. Gör så här:
tisdag 26 oktober 2010
Firesheep, så funkar det
Jag blev idag intervjuad av TV4-nyheterna om cookie-sniffaren Firesheep, en plug-in till Firefox som sniffar upp sessionskakor för populära tjänster på det nätverk man är kopplad till. Intervjun var med som ett inslag i 19-nyheterna också.
Installera och testa Firesheep
Det var lite trassel att få Firesheep att funka så jag tänkte jag postar det här för er som vill testa. Observera att jag inte går i god för programmet. Det kan visa sig vara en elak bakdörr.
Den underliggande sårbarheten
Vad är då sårbarheten? Jo, tjänster såsom Facebook krypterar bara trafiken vid inloggning (ditt lösenord är alltså skyddat). Efter det så går Facebook tillbaka till okrypterad trafik. Din sessions-cookie är det som Facebook identifierar dig med efter inloggning och den skickas i klartext vid varje anrop till Facebook. Det är den trafiken som Firesheep avlyssnar och plockar upp sessions-info från.
Med din sessions-cookie i min webbläsare så är jag lika inloggad som du är.
PS.
Eftersom det valsat runt så mycket felaktig information så vill jag poängtera två saker:
/John Wilander, chapter co-leader
Installera och testa Firesheep
Det var lite trassel att få Firesheep att funka så jag tänkte jag postar det här för er som vill testa. Observera att jag inte går i god för programmet. Det kan visa sig vara en elak bakdörr.
- Se till att du har Firefox 3.6.* och minst 3.6.10, t ex 3.6.11. Inte 4 beta om du inte vill experimentera.
- Ladda hem Firesheep från GitHub.
- Öppna xpi-filen med Firefox och installera.
- Starta om Firefox om den kräver det.
- Nu ska du ha en Firesheep-vy som en kolumn i vänsterkanten. Om inte så Visa -> Sidofält -> Firesheep.
- Under Inställningar -> Sekretess: Stäng av ev privat surfningsläge, tillåt cookies och tilllåt tredjeparts-cookies.
- Slå på Firesheep med knappen "Start Capturing".
- Öppna en annan webbläsare, t ex Chrome.
- Logga in på Facebook, Twitter eller Flickr i Chrome.
- Kolla Firesheep-vyn i Firefox. Där ska dina olika konton ha dykt upp.
- Dubbelklicka på något av dina konton i Firesheep och vips så har du genomfört en session hijacking.
Om du nu suttit på ett öppet trådlöst nät så hade alla andra aktiva sessioner dykt upp i din Firesheep-kolumn. Notera att det är olagligt att utnyttja andras sessioner utan tillstånd. Att avlyssna nätverket och titta på listan är dock helt OK.
Förkonfigurerade tjänster som Firesheep sniffar
Följande tjänster/domäner är förkonfigurerade i Firesheep:
- Amazon.com
- Basecamp
- bit.ly
- Cisco
- CNET
- Dropbox
- Enom
- Evernote
- Flickr
- Foursquare
- GitHub
- Google (dock ej GMail numer)
- Gowalla
- Hacker News
- Harvest
- Windows Live
- New York Times
- Pivotal Tracker
- ToorCon: San Diego
- Slicehost SliceManager
- tumblr.com
- Wordpress
- Yahoo
- Yelp
Den underliggande sårbarheten
Vad är då sårbarheten? Jo, tjänster såsom Facebook krypterar bara trafiken vid inloggning (ditt lösenord är alltså skyddat). Efter det så går Facebook tillbaka till okrypterad trafik. Din sessions-cookie är det som Facebook identifierar dig med efter inloggning och den skickas i klartext vid varje anrop till Facebook. Det är den trafiken som Firesheep avlyssnar och plockar upp sessions-info från.
Med din sessions-cookie i min webbläsare så är jag lika inloggad som du är.
PS.
Eftersom det valsat runt så mycket felaktig information så vill jag poängtera två saker:
- Firesheep är en plugin till Firefox, dvs ett tilläggsprogram. Det hela handlar alltså inte om något säkerhetshål i Firefox. Det vore lika dumt som att påstå att Windows har problem för att någon skrivit en nätverksskanner som körs på Windows.
- Offret kan surfa med valfri webbläsare – Safari, Internet Explorer, Opera, Firefox, Chrome och så vidare. Session hijacking med hjälp av cookies är inte begränsat till en viss webbläsare.
DS.
/John Wilander, chapter co-leader
fredag 4 juni 2010
E-postadresser synliga via Facebook-läcka
Prova att googla på ...
site:facebook.com "Do you want to stop receiving Facebook emails"
Det ger dig en diger uppsättning e-postadresser att börja spamma. Flera av adresserna är dessutom till för automatisk postning till folks bloggar. Cory Watilo har upptäckt det här och han har inte ens gett sin e-postadress till Facebook (se skärmdump nedan)!
Nu tycker jag förvisso man gott kan publicera sin e-postadress på nätet. Filtren börjar bli bra, adressen läcker ut i alla fall (exempel ovan) och det är grymt irriterande att inte hitta en persons e-postadress.
Nej, det allvarliga i den aktuella Facebook-läckan är förstås att Facebook uppenbarligen inte har något ordentligt system för att kategorisera användarnas data. Det ska inte vara upp till om utvecklarna har en bra dag eller inte. Bygger man världens största sociala nätverk och riskerar tonvis med kritik för hanteringen av personlig information så ska systemet självt hålla reda på vad som får spindlas/indexeras och inte.
Om man nu inte kan eller orkar kategorisera informationen – hur svårt kan det vara att sätta upp egna test-botar som går igenom sajten på jakt efter känslig information?
fredag 21 maj 2010
Clickjacking-attack mot Facebook
En mask kallad FBHOLE spred sig som en löpeld på Facebook igår och idag. Tydligen använder den sig av clickjacking. F-Secure beskriver det hela bra.
Om du klickade någonstans på den sidan så postade du fbhole.com-länken på din Facebook-profil och masken fortsätter att sprida sig (förutsatt att du är inloggad på FB). fbhole.com fångar ditt klick med en transparent iframe som skickar klicket till Facebook istället.
Någon av dina redan drabbade FB-vänner postar ett meddelande:
"try not to laugh xD http://www.fbhole. com/omg/allow.php?s=a&r=[slumptal]"
Om du klickar så får du upp en sida som ser ut som Facebook men visar ett fejkat felmeddelande:
Om du klickade någonstans på den sidan så postade du fbhole.com-länken på din Facebook-profil och masken fortsätter att sprida sig (förutsatt att du är inloggad på FB). fbhole.com fångar ditt klick med en transparent iframe som skickar klicket till Facebook istället.
Domänen registererades igår och pekar på en tjeckisk IP-adress. Sajten ironbrain.net har samma IP.
Mikko Hypponen på F-Secure ringde Ironbrain som lät tämligen förvånade. En stund senare var fbhole.com borta från nätet.
Vi kommer ha en intressant presentation om clickjacking på sommarens konferens i Stockholm (se passet kl 15:30).
torsdag 13 maj 2010
Personlig integritet på Facebook?
Facebook får mer och mer stryk för regler och inställningar gällande personlig integritet. Vid det här laget är deras integritetspolicy längre än den amerikanska konstitutionen (se länkad NY Times-artikel nedan). Det hela har förstås bärighet på allmänna frågor som hur man tjänar pengar på nätet, den pågående kampen om våra nätidentiteter och Facebooks ambitioner att bli den globala portalen för alla oss som "hänger" på nätet.
Visualisering av personlig integritet på FB
Matt McKeon på IBM research har gjort en visualisering av hur Facebook har gjort mer och mer personlig information tillgänglig över tid.
Nu har även New York Times gjort en ordentlig genomgång av historik och nuläge.
Bra artiklar
Wired har både en bra artikel om integritetsproblemet och om Facebooks planer på webbdominans.
Facebook reagerar
Nu har Facebook äntligen reagerat och kallat till ett internt stormöte. Blir intressant att se vad som händer och sägs där.
Prenumerera på:
Inlägg (Atom)