【セキュリティ】アカウントを乗っ取るFirefoxの拡張機能が公開 大手サイトの実態に警鐘(10/10/26)
1 : ◆amidaMovTg @あみだくじψ ★:2010/10/26(火) 21:17:52 ID:??? BE:1483654638-2BP(3333)
TwitterやFacebookなどの人気サイトで他人のアカウントを乗っ取ることができてしまうFirefoxの拡張機能「Firesheep」を
セキュリティ研究者が公表した。大手のWebサイトがユーザー保護の責任を果たしていない実態に警鐘を鳴らすのが
狙いだとしている。
Firesheepは米国のWebアプリケーション開発者、エリック・バトラー氏が先の週末にセキュリティカンファレンスのToorcon 12
で披露した。同氏はその背景について「Webサイトは一般的に、ログインの際にはパスワードを暗号化してユーザーを保護して
いるが、それ以外のものは何も暗号化されていないのが普通だ。攻撃者がHTTPセッションの乗っ取りによってユーザーのc
ookieを入手してしまえば、特定のWebサイトでそのユーザーのアカウントを乗っ取ることができてしまう」と指摘する。
Firesheepは「この問題の深刻さを示すため」にリリースしたという。インストールすると、まず公開されている無線LANに
接続する。ユーザーがその無線LANを使って、Firesheepにあらかじめ登録された「安全でない」Webサイトにアクセスすると、
そのユーザーとしてWebサイトにアクセスできてしまうという。
セキュリティ企業各社もブログなどでFiresheepを取り上げている。McAfeeは「このプラグインが問題なのではない。問題は
SSLのログイン、または、強い暗号を使っていないWebサイトにある」と明言した。そのうえで、「大半のWebサイトをあてに
できない以上、ユーザーは自分の情報を自分で守るしかない」と述べ、Electronic Freedom Foundationが提供する
「HTTPS-Everywhere」というFirefox拡張機能の利用を勧めている。
一方、F-Secureは「Firesheepが悪用されるのは確実」だと予想し、ユーザーが取るべき対策として暗号化されていない
無線LANを使わないこと、VPNを利用することなどを挙げた。
http://www.itmedia.co.jp/news/articles/1010/26/news017.html
セキュリティ研究者が公表した。大手のWebサイトがユーザー保護の責任を果たしていない実態に警鐘を鳴らすのが
狙いだとしている。
Firesheepは米国のWebアプリケーション開発者、エリック・バトラー氏が先の週末にセキュリティカンファレンスのToorcon 12
で披露した。同氏はその背景について「Webサイトは一般的に、ログインの際にはパスワードを暗号化してユーザーを保護して
いるが、それ以外のものは何も暗号化されていないのが普通だ。攻撃者がHTTPセッションの乗っ取りによってユーザーのc
ookieを入手してしまえば、特定のWebサイトでそのユーザーのアカウントを乗っ取ることができてしまう」と指摘する。
Firesheepは「この問題の深刻さを示すため」にリリースしたという。インストールすると、まず公開されている無線LANに
接続する。ユーザーがその無線LANを使って、Firesheepにあらかじめ登録された「安全でない」Webサイトにアクセスすると、
そのユーザーとしてWebサイトにアクセスできてしまうという。
セキュリティ企業各社もブログなどでFiresheepを取り上げている。McAfeeは「このプラグインが問題なのではない。問題は
SSLのログイン、または、強い暗号を使っていないWebサイトにある」と明言した。そのうえで、「大半のWebサイトをあてに
できない以上、ユーザーは自分の情報を自分で守るしかない」と述べ、Electronic Freedom Foundationが提供する
「HTTPS-Everywhere」というFirefox拡張機能の利用を勧めている。
一方、F-Secureは「Firesheepが悪用されるのは確実」だと予想し、ユーザーが取るべき対策として暗号化されていない
無線LANを使わないこと、VPNを利用することなどを挙げた。
http://www.itmedia.co.jp/news/articles/1010/26/news017.html
2 :名無しさん@お腹いっぱい。:2010/10/26(火) 22:08:44 ID:???
つまり…どういうことだってばよ
3 :名無しさん@お腹いっぱい。:2010/10/26(火) 22:14:16 ID:???
httpsではなくhttpならあみだくじのクッキーが覗けちゃうってこと
4 :名無しさん@お腹いっぱい。:2010/10/26(火) 22:16:47 ID:???
無線LANの暗号化はちゃんとしましょうってこと。
さらにSSLとかもちゃんとしましょう。
さらにSSLとかもちゃんとしましょう。
5 :名無しさん@お腹いっぱい。:2010/10/26(火) 22:22:05 ID:???
ありがとうよくわかった!
多分
多分
6 :名無しさん@お腹いっぱい。:2010/10/26(火) 22:35:00 ID:???
こういうのって結局無責任なやつらが悪いだけ
7 :名無しさん@お腹いっぱい。:2010/10/26(火) 23:05:39 ID:DwHWcfDD
悲しいかなイマドキの愚かな初心者やゆとりにはこういうのは無意味なんだよな
主観丸投げで直リン以外受付けないし
主観丸投げで直リン以外受付けないし
8 :名無しさん@お腹いっぱい。:2010/10/27(水) 00:16:34 ID:???
つか、ノーガード無線大杉
ルータの説明書に「せめてWEPぐらいかけましょう」とか書いてないのか
ルータの説明書に「せめてWEPぐらいかけましょう」とか書いてないのか
9 :名無しさん@お腹いっぱい。:2010/10/27(水) 00:19:07 ID:???
WEPじゃ、まあ、裸に葉っぱ一枚だな。
10 :名無しさん@お腹いっぱい。:2010/10/28(木) 00:44:09 ID:QTXS1CFs
有線は関係ないことなの?
11 :名無しさん@お腹いっぱい。:2010/10/30(土) 15:59:25 ID:???
12 :名無しさん@お腹いっぱい。:2010/11/02(火) 00:11:26 ID:???
別に2chに書き込む情報が漏れてもなぁ・・・公開すること前提で話してるわけだし?
13 :名無しさん@お腹いっぱい。:2010/11/02(火) 17:43:20 ID:???
これどうやって防げばいいの?気合?
14 :名無しさん@お腹いっぱい。:2010/11/02(火) 17:52:25 ID:???
コンドームでも被っとけ
15 :名無しさん@お腹いっぱい。:2010/11/15(月) 12:43:10 ID:YYmrPfDt
もぅあのブラウザは存在の価値がない
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1421872134
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1421872134
16 :名無しさん@お腹いっぱい。:2010/11/15(月) 15:21:53 ID:YYmrPfDt
Firefox4のタブ切替えは遅い最悪だな
糞スレ