WN
Sidan 1 av 2 1 2
Visa 40 inlägg från det här ämnet på en sida

WN (https://www.wn.se/forum/index.php)
-   Off Topic (https://www.wn.se/forum/forumdisplay.php?f=7)
-   -   Tillägg till Firefox kapar inlogg (https://www.wn.se/forum/showthread.php?t=1044482)

Tobab 2010-10-26 06:38
Tillägg till Firefox kapar inlogg
 
Ett nytt tillägg till webbläsaren Firefox gör att man inom ett trådlöst nätverk enkelt kan nyttja andra användares olika inloggningsuppgifter, till exempel till Facebook och Twitter.

http://www.sydsvenskan.se/digitalt-o...-sekunden.html

Westman 2010-10-26 07:01
Det tjatas om inloggningen i artikeln men det hjälper ju inte att kryptera inloggningen, all användning av kakan måste ju ske krypterat annars kan den kapas ändå.

Magnus_A 2010-10-26 08:18
Går det att kryptera en sessions-cookie? Kapar man den och jobbar från samma IP bakom samma router så är det väl svårt att på serversidan se att den är kapad?

emilv 2010-10-26 08:59
Citat:
Ursprungligen postat av Magnus_A (Inlägg 20375162)
Går det att kryptera en sessions-cookie? Kapar man den och jobbar från samma IP bakom samma router så är det väl svårt att på serversidan se att den är kapad?
På serversidan är det svårt, men med SSL (HTTPS) ser du direkt på klientsidan om någon försöker avlyssna kommunikationen.

Westman 2010-10-26 10:36
Citat:
Ursprungligen postat av Magnus_A (Inlägg 20375162)
Går det att kryptera en sessions-cookie? Kapar man den och jobbar från samma IP bakom samma router så är det väl svårt att på serversidan se att den är kapad?
Det var användningen av den som skulle ske krypterad (se emils svar).

Tobab 2010-10-26 17:39
Facebook jobbar på att få fram https-inloggning :)

Anders Larsson 2010-10-26 22:48
Citat:
Ursprungligen postat av Tobab (Inlägg 20375266)
Facebook jobbar på att få fram https-inloggning :)
De behöver inte jobba så hårt med det, det har de och har haft jäkligt länge. Det är inte det som är "problemet".

emilv 2010-10-26 23:36
Problemet är alltså inte bara att inloggningen går okrypterad på vissa sajter (även om det är ett problem i sig). Problemet är de sajter där man faktiskt använder HTTPS för inloggningen och tror att det räcker! I själva verket måste all trafik, alla sidvisningar och alla bilder, hämtas över HTTPS, annars kan någon kapa en session genom att fånga upp den kaka som används under inloggningen.

Westman 2010-10-27 06:19
Citat:
Ursprungligen postat av emilv (Inlägg 20375324)
Problemet är alltså inte bara att inloggningen går okrypterad på vissa sajter (även om det är ett problem i sig). Problemet är de sajter där man faktiskt använder HTTPS för inloggningen och tror att det räcker! I själva verket måste all trafik, alla sidvisningar och alla bilder, hämtas över HTTPS, annars kan någon kapa en session genom att fånga upp den kaka som används under inloggningen.
Ja egentligen är det ju korkat att inte ha det bara för att spara relativt lite CPU-last.

Fast för FB etc. så är det ju stora summor men egentligen lite i förhållande till vad de gör över med idag men det påverkar ju resultatet och gud nåde den vd som inte har profiten som enda prioritet. ;)

Magnus_A 2010-10-27 10:13
Citat:
Ursprungligen postat av Westman (Inlägg 20375177)
Det var användningen av den som skulle ske krypterad (se emils svar).
Alla sidor som kräver inloggning ska alltså gå via https?


Alla tider är GMT +2. Klockan är nu 21:26.
Sidan 1 av 2 1 2
Visa 40 inlägg från det här ämnet på en sida

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson