Visar inlägg med etikett Twitter. Visa alla inlägg
Visar inlägg med etikett Twitter. Visa alla inlägg

lördag 4 juni 2011

Twitter tar över ... och Gbg startar!

Det var länge sedan jag skrev något på den här bloggen och skrivtakten har gått ned ett bra tag nu. Tro mig, det har malt i mitt huvud. Men jag är en person som tror på utveckling och det är bara att konstatera att Twitter totalt har tagit över nyhetsflödet inom appsäk. För ett år sedan skrev jag om det här och sedan dess har det gått fort.

Börja med Twitter om du inte redan gjort det
2679 tweets från mitt håll hittills. På intet sätt ett rekord men ändock ett bevis på att bloggandet har ersatts av twittrande, särskilt för min egen del. Bloggar har blivit en plats för egenproducerat material, inte nyheter.

Twitter är ett oslagbart flöde av lästips, intressanta tankar och lajvdiskussioner om exempelvis hacken mot Sony, RSA och Comodo eller om vilka som börjat använda content security policy och hur det gått. Över tid så mejslar du fram exakt den mix du vill ha. Kanske 60% appsäk, 30% fotboll, 5% politik och 5% surdegsbak?

För att komma igång så kommer här mina tio tips på bra konton att följa inom appsäk, främst webb:
  1. @owasp :)
  2. @theharmonyguy
  3. @internot_
  4. @securityninja
  5. @_mwc
  6. @0x6D6172696F (Mario)
  7. @webtonull
  8. @garethheyes
  9. @jeremiahg
  10. @WisecWisec

OWASP Sweden-bloggen kommer förstås finnas kvar. Nyheter om OWASP i Sverige kommer fortsätta att annonseras här och kanske kommer en ny våg av appsäk-nyheter på svenska.

OWASP Gothenburg på gång
Efter en lyckad seminariekväll i Göteborg i april så har de formerat sig och kommer inom kort ha officiell status som chapter. Det betyder att OWASP Sweden kommer bestå av två chapter – OWASP Gothenburg och OWASP Stockholm. Planen är att behålla mejlinglistan som den är och att Göteborgsledarna också går in som moderatorer. Samma sak här på bloggen. Så vem vet, kanske är det västkusten som kommer blogga loss här 2011?

Hur som helst vill jag önska göteborgarna lycka till! De lär höra av sig, inte minst på mejlinglistan.

Psst ... Musiken finns nu
Jag har ju nämnt mitt musikprojekt några gånger. Tro det eller ej, nu finns tolv låtar att lyssna på och anonymt betygsätta. Bara att klicka sig in på www.johnwilander.com.

Vi ses på Twitter!

/John (@johnwilander)
Upplagd av Inga kommentarer:
Etiketter: ,

tisdag 26 oktober 2010

Firesheep, så funkar det

Jag blev idag intervjuad av TV4-nyheterna om cookie-sniffaren Firesheep, en plug-in till Firefox som sniffar upp sessionskakor för populära tjänster på det nätverk man är kopplad till. Intervjun var med som ett inslag i 19-nyheterna också.

Installera och testa Firesheep
Det var lite trassel att få Firesheep att funka så jag tänkte jag postar det här för er som vill testa. Observera att jag inte går i god för programmet. Det kan visa sig vara en elak bakdörr.
  1. Se till att du har Firefox 3.6.* och minst 3.6.10, t ex 3.6.11. Inte 4 beta om du inte vill experimentera.
  2. Ladda hem Firesheep från GitHub.
  3. Öppna xpi-filen med Firefox och installera.
  4. Starta om Firefox om den kräver det.
  5. Nu ska du ha en Firesheep-vy som en kolumn i vänsterkanten. Om inte så Visa -> Sidofält -> Firesheep.
  6. Under Inställningar -> Sekretess: Stäng av ev privat surfningsläge, tillåt cookies och tilllåt tredjeparts-cookies.
  7. Slå på Firesheep med knappen "Start Capturing".
  8. Öppna en annan webbläsare, t ex Chrome.
  9. Logga in på Facebook, Twitter eller Flickr i Chrome.
  10. Kolla Firesheep-vyn i Firefox. Där ska dina olika konton ha dykt upp.
  11. Dubbelklicka på något av dina konton i Firesheep och vips så har du genomfört en session hijacking.
Om du nu suttit på ett öppet trådlöst nät så hade alla andra aktiva sessioner dykt upp i din Firesheep-kolumn. Notera att det är olagligt att utnyttja andras sessioner utan tillstånd. Att avlyssna nätverket och titta på listan är dock helt OK.

Förkonfigurerade tjänster som Firesheep sniffar
Följande tjänster/domäner är förkonfigurerade i Firesheep:
  • Amazon.com
  • Basecamp
  • bit.ly
  • Cisco
  • CNET
  • Dropbox
  • Enom
  • Evernote
  • Facebook
  • Flickr
  • Foursquare
  • GitHub
  • Google (dock ej GMail numer)
  • Gowalla
  • Hacker News
  • Harvest
  • Windows Live
  • New York Times
  • Pivotal Tracker
  • ToorCon: San Diego
  • Slicehost SliceManager
  • tumblr.com
  • Twitter
  • Wordpress
  • Yahoo
  • Yelp

Den underliggande sårbarheten
Vad är då sårbarheten? Jo, tjänster såsom Facebook krypterar bara trafiken vid inloggning (ditt lösenord är alltså skyddat). Efter det så går Facebook tillbaka till okrypterad trafik. Din sessions-cookie är det som Facebook identifierar dig med efter inloggning och den skickas i klartext vid varje anrop till Facebook. Det är den trafiken som Firesheep avlyssnar och plockar upp sessions-info från.

Med din sessions-cookie i min webbläsare så är jag lika inloggad som du är.


PS.
Eftersom det valsat runt så mycket felaktig information så vill jag poängtera två saker:
  1. Firesheep är en plugin till Firefox, dvs ett tilläggsprogram. Det hela handlar alltså inte om något säkerhetshål i Firefox. Det vore lika dumt som att påstå att Windows har problem för att någon skrivit en nätverksskanner som körs på Windows.
  2. Offret kan surfa med valfri webbläsare – Safari, Internet Explorer, Opera, Firefox, Chrome och så vidare. Session hijacking med hjälp av cookies är inte begränsat till en viss webbläsare.
DS.


/John Wilander, chapter co-leader
Upplagd av 13 kommentarer:
Etiketter: , , , ,

fredag 24 september 2010

Twitter fortfarande sårbart

Jag vet inte om ni följer utvecklingen men Twitters XSS-fix var fel. Sen fixade de igen. Och den fixen var fel. Sen fixade de igen och idag kom folk fram till att det var fel på den fixen också.

Delar av historien här:

Alltså ... överge webbgränssnittet och ladda hem en klient tills vidare. T ex:
Upplagd av Inga kommentarer:
Etiketter: , ,
Prenumerera på: Inlägg (Atom)