לדף הכניסה של ישרא-בלוג
לדף הראשי של nana10
לחצו לחיפוש
חפש שם בלוג/בלוגר
חפש בכל הבלוגים
חפש בבלוג זה
 

יומן אבטחה

בלוג אבטחת מידע. עדכונים, עניינים, חדשות ופרסומים. הכל מכל בכל בנושא אבטחת מידע. ופרטיות.

מלאו כאן את כתובת האימייל
שלכם ותקבלו עדכון בכל פעם שיעודכן הבלוג שלי:

הצטרף כמנוי
בטל מנוי
שלח

RSS: לקטעים  לתגובות 
ארכיון:


קטעים בקטגוריה: . לקטעים בבלוגים אחרים בקטגוריה זו לחצו .

שינוי איכותי מול שינוי כמותי


הכותרת באתר  TheMarker הייתה די נחרצת - אם אתם גולשים דרך רשת אלחוטית לחשבונות דואר אלקטרוני ניתן לקרוא את הדואר שלכם. לכאורה דרמה, אבל בפועל לא משהו חדש. לפחות לא משהו שלא היה ניתן לפרסם כבר חמש שנים עם אותה הכותרת בדיוק. נכון, ישנם מונחים חדשים, כמו sidejacking (להבדיל מה-session hijacking המקובל), אבל שוב - המונחים משתנים לאורך השנים אך לרוב התוכן אותו הדבר.

עכשיו התמונה קצת יותר ברורה. אכן, אין פה כלל חידוש. למעט דבר אחד קטן. החוקרים מ-errata security הדגימו בכנס blackhat איך הם עושים את זה באמצעות בזריזות באמצעות כלים שהם פיתחו שמאפשרים לעשות זאת בצורה קלה ואינטואיטיבית. קצת כמו ש-aircrack הביא לאוויר העולם יכולת לפרוץ רשתות אלחוטיות בצורה מהירה וקלה. גם כאן החידוש לא היה ביכולת לפצח wep, אלא בפצחן wep להמונים (אגב, יש גרסה מתקדמת יותר: aircrack-NG). התוכנה אמורה להיות באתר של errata מחר-מחרתיים, לכל המעוניינים. מדובר בשני כלים ferret - האוסף נתונים ו-hamster שמעבד אותם לכדי משהו בר ניצול. הכלי הראשון כבר ניתן להורדה והשני כאמור יהיה בקרוב. למי שרוצה לראות צילומי מסך: בבלוג של George Ou

הדרך הפשוטה ביותר (אך אולי היקרה ביותר) להתמודד עם הבעיה היא כמובן הצפנה. אך נראה לי שישנן דרכים לצמצם את ההשפעה של מתקפה זו:
  1. כאשר משתמש מבצע יציאה מסודרת (logout) יש לבטל את מזהה ה-session שלו, כך שכל המשתמשים הרוכבים על אותו מזהה ה-session ינותקו. לשם כך המשתמשים צריכים לבצע יציאה מסודרת (מה שנהיה פחות נפוץ לאור הופעת הטאבים והנטיה של הדפדפנים היום לשמר מצב בעת סגירת דפדפן). כמובן שלשם כך צריך שמזהה ה-session יוגרל בכל כניסה מחדש ולא ייעשה שימוש במזהה סטאטי. זה לא ימנע את גניבת החשבון, אך ימנע שימוש יתר בזכויות המתקבלות.
  2. אפשר לבצע גם ניתוק יזום לאחר פרק זמן של חוסר פעילות (או לפחות נעילה של החשבון).
  3. אפשר לנסות (אני לא בטוח כמה זה פשוט) להצליב כתובת IP שמתקבלת בעת ביצוע ה-login עם מקור הגלישה בכל גישה לאתר, כך שגישה מכתובת IP שונה מזו ממנה בוצע ה-login תיחסם.
מקורות:
הבלוג של Brian Krebs
הבלוג של erratasec
נכתב על ידי , 5/8/2007 22:06   בקטגוריות אבטחת אפליקציה, פריצות  
3 תגובות   הצג תגובות    הוסף תגובה   הוסף הפניה   קישור ישיר   שתף   המלץ   הצע ציטוט
 


כינוי: 

גיל: 50




65,379
הבלוג משוייך לקטגוריות: אינטרנט
© הזכויות לתכנים בעמוד זה שייכות לעומר טרן אלא אם צויין אחרת
האחריות לתכנים בעמוד זה חלה על עומר טרן ועליו/ה בלבד
כל הזכויות שמורות 2025 © עמותת ישראבלוג (ע"ר)