quarta-feira, outubro 27, 2010
Três alternativas para se proteger do Firesheep
Alternativa 1: Utilizar o plugin NoScript no Firefox e configurar:
NoScript->Options->Advanced->HTTPS
Force the following sites to use secure (HTTPS) connections:
twitter.com
*.twitter.com
google.com
*.google.com
facebook.com
*.facebook.com
Alternativa 2: Instalar o plugin HTTPS Everywhere no Firefox;
Alternartiva 3: Não usar twitter, facebook, gmail e qualquer serviço que não utilize sempre canal seguro para comunicação em redes públicas, ou sempre verificar se o seu acesso é sempre via https ou através de VPN.
Apresentação sobre o Firesheep realizada na Toorcon aqui.
O ataque do Firesheep não é novidade, apenas facilitou com poucos cliques o que já era possível fazer a mão e escancarou o problema. E o Firesheep também não é único, também existe a ferramenta Idiocy, feita em python.
Para os desenvolvedores Web:
- Todos os cookies das aplicações devem estar com a flag "Secure" especificada.
- Outro cuidado é também especificar a flag "HTTPOnly" nos cookies, para evitar ataques do tipo XSS (cross-site scripting).
Para maiores referências, verifiquem a página da OWASP: http://www.owasp.org/index.php/Testing_for_cookies_attributes_%28OWASP-SM-002%29
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário