Użytkownicy takich serwisów jak Gmail, Facebook lub MySpace są w czasie korzystania z sieci WiFi narażeni na atak, dzięki któremu osoba niepowołana przeczyta ich korespondencje lub podejrzy osobiste dane.
Specjaliści z Errata Security zaprezentowali metodę ataku na tegorocznej konferencji Black Hat 2007 w Las Vegas. Co ciekawe, wykorzystuje ona pewną od dawna znaną słabość serwisów, takich jak Gmail, Blogspot, Facebook, MySpace i LinkedIn. Słabość ta polega na tym, że większość informacji wymienianych pomiędzy aplikacją internetową a klientem przesyła się w postaci niezaszyfrowanej.
Niebezpieczeństwo występuje wtedy, gdy cyberoszust znajduje się w tej samej sieci co jego ofiara. Jeśli skorzysta on z packet-sniffera (programu do "podsłuchiwania" pakietów umieszczonego na jednej z maszyn w sieci) może dość łatwo pozyskać zawartość pliku cookie ofiary, wraz z kluczem sesji.
Importując zebrane dane do innej przeglądarki atakujący dostaje się na konto użytkownika. Od tej pory może on np.: czytać e-maile, zmieniać niektóre dane w profilu, publikować posty blogowe itd. Całe szczęście - atakujący nie jest w stanie zmienić hasła, bo ta procedura zazwyczaj wymaga powtórnego logowania.
W przeszłości zwracano już uwagę na to, że wiele serwisów Web 2.0 nie szyfruje całych sesji. Wynika to z faktu, że połączenia SSL bardziej obciążają serwery i takie rozwiązanie wiązałoby się z wyższymi kosztami. W wielu przypadkach połączenia SSL są możliwe, ale operatorzy serwisów nie robią nic, aby uświadomić to użytkownikom. Przykładowo jeśli chcemy mieć dostęp do bezpiecznego połączenia z Gmail wystarczy się zalogować przez adres https://mail.google.com.
Specjaliści z Errata Security przestrzegają, aby w czasie korzystania z sieci WiFi zawsze stosować SSL. Oczywiście innym rozwiązaniem jest korzystanie z usług serwisów Web 2.0 tylko w takiej sieci, co do której mamy pełne zaufanie.
Specjaliści z Errata Security zaprezentowali metodę ataku na tegorocznej konferencji Black Hat 2007 w Las Vegas. Co ciekawe, wykorzystuje ona pewną od dawna znaną słabość serwisów, takich jak Gmail, Blogspot, Facebook, MySpace i LinkedIn. Słabość ta polega na tym, że większość informacji wymienianych pomiędzy aplikacją internetową a klientem przesyła się w postaci niezaszyfrowanej.
Niebezpieczeństwo występuje wtedy, gdy cyberoszust znajduje się w tej samej sieci co jego ofiara. Jeśli skorzysta on z packet-sniffera (programu do "podsłuchiwania" pakietów umieszczonego na jednej z maszyn w sieci) może dość łatwo pozyskać zawartość pliku cookie ofiary, wraz z kluczem sesji.
Importując zebrane dane do innej przeglądarki atakujący dostaje się na konto użytkownika. Od tej pory może on np.: czytać e-maile, zmieniać niektóre dane w profilu, publikować posty blogowe itd. Całe szczęście - atakujący nie jest w stanie zmienić hasła, bo ta procedura zazwyczaj wymaga powtórnego logowania.
W przeszłości zwracano już uwagę na to, że wiele serwisów Web 2.0 nie szyfruje całych sesji. Wynika to z faktu, że połączenia SSL bardziej obciążają serwery i takie rozwiązanie wiązałoby się z wyższymi kosztami. W wielu przypadkach połączenia SSL są możliwe, ale operatorzy serwisów nie robią nic, aby uświadomić to użytkownikom. Przykładowo jeśli chcemy mieć dostęp do bezpiecznego połączenia z Gmail wystarczy się zalogować przez adres https://mail.google.com.
Specjaliści z Errata Security przestrzegają, aby w czasie korzystania z sieci WiFi zawsze stosować SSL. Oczywiście innym rozwiązaniem jest korzystanie z usług serwisów Web 2.0 tylko w takiej sieci, co do której mamy pełne zaufanie.