Ett nytt tillägg till webbläsaren Firefox gör att man inom ett trådlöst nätverk enkelt kan nyttja andra användares olika inloggningsuppgifter, till exempel till Facebook och Twitter.

http://www.sydsvenskan.se/digitalt-o...-sekunden.html

[Westman]

Det tjatas om inloggningen i artikeln men det hjälper ju inte att kryptera inloggningen, all användning av kakan måste ju ske krypterat annars kan den kapas ändå.

[Magnus_A]

Går det att kryptera en sessions-cookie? Kapar man den och jobbar från samma IP bakom samma router så är det väl svårt att på serversidan se att den är kapad?

[emilv]

Citat:

Ursprungligen postat av Magnus_A

Går det att kryptera en sessions-cookie? Kapar man den och jobbar från samma IP bakom samma router så är det väl svårt att på serversidan se att den är kapad?

På serversidan är det svårt, men med SSL (HTTPS) ser du direkt på klientsidan om någon försöker avlyssna kommunikationen.

[Westman]

Citat:

Ursprungligen postat av Magnus_A

Går det att kryptera en sessions-cookie? Kapar man den och jobbar från samma IP bakom samma router så är det väl svårt att på serversidan se att den är kapad?

Det var användningen av den som skulle ske krypterad (se emils svar).

Facebook jobbar på att få fram https-inloggning

[Anders Larsson]

Citat:

Ursprungligen postat av Tobab

Facebook jobbar på att få fram https-inloggning

De behöver inte jobba så hårt med det, det har de och har haft jäkligt länge. Det är inte det som är "problemet".

[emilv]

Problemet är alltså inte bara att inloggningen går okrypterad på vissa sajter (även om det är ett problem i sig). Problemet är de sajter där man faktiskt använder HTTPS för inloggningen och tror att det räcker! I själva verket måste all trafik, alla sidvisningar och alla bilder, hämtas över HTTPS, annars kan någon kapa en session genom att fånga upp den kaka som används under inloggningen.

[Westman]

Citat:

Ursprungligen postat av emilv

Problemet är alltså inte bara att inloggningen går okrypterad på vissa sajter (även om det är ett problem i sig). Problemet är de sajter där man faktiskt använder HTTPS för inloggningen och tror att det räcker! I själva verket måste all trafik, alla sidvisningar och alla bilder, hämtas över HTTPS, annars kan någon kapa en session genom att fånga upp den kaka som används under inloggningen.

Ja egentligen är det ju korkat att inte ha det bara för att spara relativt lite CPU-last.

Fast för FB etc. så är det ju stora summor men egentligen lite i förhållande till vad de gör över med idag men det påverkar ju resultatet och gud nåde den vd som inte har profiten som enda prioritet.

[Magnus_A]

Citat:

Ursprungligen postat av Westman

Det var användningen av den som skulle ske krypterad (se emils svar).

Alla sidor som kräver inloggning ska alltså gå via https?