/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
hvorfor er Facebook ikke krypteret ?
Fra : Per


Dato : 30-10-10 16:45

Hej Sik. gruppe !

Det undrer mig, at Facebook ikke benytter sig af https:// protokollen og
krypterer deres trafik. Det gør masser af E-mail services bla. Gmail - netop
pga. sikkerhed og personfølsomme oplysninger.

Er der for besværligt for FB eller er der en speciel grund til at de ikke
har valgt at bruge htpps ?

Mvh. Per





 
 
Max (30-10-2010)
Kommentar
Fra : Max


Dato : 30-10-10 16:47

Hej Per

> Er der for besværligt for FB eller er der en speciel grund til at de
> ikke har valgt at bruge htpps ?


Der er vel ingen der sender data til FB der behøver kryptering ?

--
Mvh
Max



Per (30-10-2010)
Kommentar
Fra : Per


Dato : 30-10-10 17:27

Max wrote:
> Hej Per
>
>> Er der for besværligt for FB eller er der en speciel grund til at de
>> ikke har valgt at bruge htpps ?
>
>
> Der er vel ingen der sender data til FB der behøver kryptering ?

Hej Max !

Det skal jeg ikke kunne udtale mig om ,
men jeg ved at mange bruger det på samme måde som Email og at mange
(desværre) ligger personfølsomme oplysninger ud på deres profiler.

Som skrevet, så bruger Gmail og også Yahoo kryptering til deres mail konti -
det gør betalingssider også. Men hvorfor ikke FB ?

ER det fx. for dyrt ?

mvh. Per



Ivan V. Klattrup (30-10-2010)
Kommentar
Fra : Ivan V. Klattrup


Dato : 30-10-10 16:52

Per skrev:

>Det undrer mig, at Facebook

Hvad er facebook for noget

--
Ivan V. Klattrup
http://klattrup.dk

Michael Rasmussen (30-10-2010)
Kommentar
Fra : Michael Rasmussen


Dato : 30-10-10 18:23

On Sat, 30 Oct 2010 18:27:23 +0200
"Per" <mesked@hotmail.com> wrote:

> Det skal jeg ikke kunne udtale mig om ,
> men jeg ved at mange bruger det på samme måde som Email og at mange (desværre) ligger personfølsomme oplysninger ud på deres profiler.
>
Jeg har muligvis misforstået noget, men hvordan kan det være et
problem, at noget der ligger til frit skue for alverden, ikke er
krypteret under overførsel til det globale rum?

--
Hilsen/Regards
Michael Rasmussen
http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xE3E80917
A computer is like air conditioning: it becomes useless when you open
windows.


Asbjorn Hojmark (31-10-2010)
Kommentar
Fra : Asbjorn Hojmark


Dato : 31-10-10 09:40

On Sat, 30 Oct 2010 19:22:50 +0200, Michael Rasmussen <mir@miras.org>
wrote:

> Jeg har muligvis misforstået noget, men hvordan kan det være et
> problem, at noget der ligger til frit skue for alverden, ikke er
> krypteret under overførsel til det globale rum?

Ja, du har misforstået, hvordan Facebook virker. Alting ligger ikke
til frit skue for alverden.

-A
--
http://www.hojmark.org/

Tommy (31-10-2010)
Kommentar
Fra : Tommy


Dato : 31-10-10 13:54

Den 30-10-2010 19:22, Michael Rasmussen skrev:
> On Sat, 30 Oct 2010 18:27:23 +0200
> "Per"<mesked@hotmail.com> wrote:
>
>> Det skal jeg ikke kunne udtale mig om ,
>> men jeg ved at mange bruger det på samme måde som Email og at mange (desværre) ligger personfølsomme oplysninger ud på deres profiler.
>>
> Jeg har muligvis misforstået noget, men hvordan kan det være et
> problem, at noget der ligger til frit skue for alverden, ikke er
> krypteret under overførsel til det globale rum?
>
Her er i hvert fald en god grund til at bruge https
http://www.version2.dk/artikel/16735-download-modgiften-her-saadan-undgaar-du-at-firesheep-kidnapper-din-facebook

Axel Hammerschmidt (06-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 06-11-10 02:38

Tommy:

> Her er i hvert fald en god grund til at bruge https
>
> http://www.version2.dk/artikel/16735-download-modgiften-her-saadan-
> undgaar-du-at-firesheep-kidnapper-din-facebook

Det hedder "Side-jack". Man opfanger en sessions cooki'en og udnytter
den til at få adgang til tjenesten.

Jeg skulle lige prøve med Firesheep og min Hotmail konto.

Brugte en gammel AP - kunne ikke engang skjule SSID - der var sat til
at være åben. Brugte MAC filter, for at forsinke en evt angriber
inden for rækkevidde.

AP'en virker som en hub.

Først måtte jeg installere Firfox 3.6.12 på min MacBook. Så indlæse
Firesheep i Extensions. Og så prøve lidt hvordan den betjenes.

Så skal det prøves.

Tændte for AP.

Boot'ede MacBook'en, forbinder til AP'en. Startede Firefox og åbnede
et sidepanel med Firesheep. Trykkede på Start Capture knappen i
sidepanelet.

Tænder for X60, forbinder til AP. Starter IE8. Logger så på min
Hotmail konto.

Gik tilbage til MacBook'en.

Nu står der et link i sidepanelet, noget med Alice and Bob, og
Windows Live. Klikker på linket.

Og så er jeg inde på min Hotmail konto fra MacBook'en.

Det var ret grænseoverskridende.


--
2GB RAM should be enough for anyone.

Tommy (07-11-2010)
Kommentar
Fra : Tommy


Dato : 07-11-10 12:41

Den 06-11-2010 02:38, Axel Hammerschmidt skrev:
> Det hedder "Side-jack". Man opfanger en sessions cooki'en og udnytter
> den til at få adgang til tjenesten.
>
> Jeg skulle lige prøve med Firesheep og min Hotmail konto.
>
> Brugte en gammel AP - kunne ikke engang skjule SSID - der var sat til
> at være åben. Brugte MAC filter, for at forsinke en evt angriber
> inden for rækkevidde.
>
> AP'en virker som en hub.
>
> Først måtte jeg installere Firfox 3.6.12 på min MacBook. Så indlæse
> Firesheep i Extensions. Og så prøve lidt hvordan den betjenes.
>
> Så skal det prøves.
>
> Tændte for AP.
>
> Boot'ede MacBook'en, forbinder til AP'en. Startede Firefox og åbnede
> et sidepanel med Firesheep. Trykkede på Start Capture knappen i
> sidepanelet.
>
> Tænder for X60, forbinder til AP. Starter IE8. Logger så på min
> Hotmail konto.
>
> Gik tilbage til MacBook'en.
>
> Nu står der et link i sidepanelet, noget med Alice and Bob, og
> Windows Live. Klikker på linket.
>
> Og så er jeg inde på min Hotmail konto fra MacBook'en.
>
> Det var ret grænseoverskridende.

Ja det må du nok sige det er. Jeg læste at Codebutler argumenterer deres
udgivelse af Firesheep med at de vil forsøge at tvinge websites til at
benytte ssl for at forhindre den slags sidejacking fra andre værktøjer.
Jeg ledte efter Firesheep på Mozillas side over tilføjelser, men kunne
kun finde et skin dér med samme navn. Jeg antager at du har hentet den
hos Codebutler, eller har jeg ikke ledt grundigt nok?

Axel Hammerschmidt (07-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 07-11-10 20:15

Tommy <fjern_tdhansen@stofanet.dk> wrote:

<snip>

> Jeg ledte efter Firesheep på Mozillas side over tilføjelser, men kunne
> kun finde et skin dér med samme navn. Jeg antager at du har hentet den
> hos Codebutler, eller har jeg ikke ledt grundigt nok?

Firesheep er ikke kommet til Linux endnu, sidst jeg så efter. Jeg kan se
du benytter Linux. Den findes kun til Mac OS X 10.4 eller nyere og så
Winslows. Firesheep kræver Firefox 3.6 eller nyere.

Hvis man ikke gider om-konfigurere sin AP så kan jeg oplyse, at det osse
virker over kabel med en hub. Man ændre så "Interface" til Ethernet
under Preferences - i OS X forstås.

Jeg er ikke nogen ørn til Java prgrammering, men lige nu prøver jeg at
tilføje login Version2 til de tjenester, der kan sniffes.

Det gør jeg dels ved at kigge på source ved login, dels ved at
sammenligne med nogle af dem der kommer med Firesheep.

Er der evt nogen her, der er villig til at kode den til V2?

Template i Firesheep ser sådan her ud:

register({
name: "Version2",
domains: [ /* FIXME */ ],
sessionCookieNames: [ /* FIXME */ ],
identifyUser: function () {
/* FIXME */
}
});

Den kommer frem når man tilføjer en ny site.

Den til bit.ly ser til sammenligning sådan her ud:

// Authors:
// Ian Gallagher <e-mail@ddress.removed>
register({
name: 'bit.ly',
url: 'http://bit.ly/',
domains: [ 'bit.ly' ],
sessionCookieNames: [ 'user' ],

identifyUser: function() {
var resp = this.httpGet(this.siteUrl);
this.userName = resp.body.querySelectorAll("#loginContainer
a")[0].textContent;
}
});

Men nogle af de andre er ret komplicerde, bl.a den til Hotmail.


--
Ikke ham på Facebook.

Axel Hammerschmidt (07-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 07-11-10 21:32

X-post: dk.edb.sikkerhed og dk.edb.programmering.java

Top post (så man nemt kan springe den over, hvis det ikke har nogen
interesse):

Egentlig burde det osse være sent til dk.edb.programmering.java. Men der
er ikke meget liv i den gruppe.

Og grunden er som sagt, at jeg har et indlæg på V2 om det forneden her:

<http://www.version2.dk/artikel/16871-efter-firesheep-facebook-og-twitte
r-scorer-dumpekarakter-paa-sikkerhed>

Kort link:

http://tinyurl.com/24ke5v9


Axel Hammerschmidt <hlexa@hotmail.com> wrote:

> Tommy <fjern_tdhansen@stofanet.dk> wrote:
>
> <snip>
>
> > Jeg ledte efter Firesheep på Mozillas side over tilføjelser, men kunne
> > kun finde et skin dér med samme navn. Jeg antager at du har hentet den
> > hos Codebutler, eller har jeg ikke ledt grundigt nok?
>
> Firesheep er ikke kommet til Linux endnu, sidst jeg så efter. Jeg kan se
> du benytter Linux. Den findes kun til Mac OS X 10.4 eller nyere og så
> Winslows. Firesheep kræver Firefox 3.6 eller nyere.
>
> Hvis man ikke gider om-konfigurere sin AP så kan jeg oplyse, at det osse
> virker over kabel med en hub. Man ændre så "Interface" til Ethernet
> under Preferences - i OS X forstås.
>
> Jeg er ikke nogen ørn til Java prgrammering, men lige nu prøver jeg at
> tilføje login Version2 til de tjenester, der kan sniffes.
>
> Det gør jeg dels ved at kigge på source ved login, dels ved at
> sammenligne med nogle af dem der kommer med Firesheep.
>
> Er der evt nogen her, der er villig til at kode den til V2?
>
> Template i Firesheep ser sådan her ud:
>
> register({
> name: "Version2",
> domains: [ /* FIXME */ ],
> sessionCookieNames: [ /* FIXME */ ],
> identifyUser: function () {
> /* FIXME */
> }
> });
>
> Den kommer frem når man tilføjer en ny site.
>
> Den til bit.ly ser til sammenligning sådan her ud:
>
> // Authors:
> // Ian Gallagher <e-mail@ddress.removed>
> register({
> name: 'bit.ly',
> url: 'http://bit.ly/',
> domains: [ 'bit.ly' ],
> sessionCookieNames: [ 'user' ],
>
> identifyUser: function() {
> var resp = this.httpGet(this.siteUrl);
> this.userName = resp.body.querySelectorAll("#loginContainer
> a")[0].textContent;
> }
> });
>
> Men nogle af de andre er ret komplicerde, bl.a den til Hotmail.


--
Ikke ham på Facebook.

Axel Hammerschmidt (07-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 07-11-10 22:49

Axel Hammerschmidt <hlexa@hotmail.com> wrote:

<snip>

X-post: dk.edb.sikkerhed og dk.edb.programmering.java

Jeg prøver med den her:

// Authors:
// Axel Hammerschmidt <e-mail@ddress.removed>
register({
name: "Version2",
url: 'http://version2.dk',
domains: [ 'version2.dk' ],
sessionCookieNames: [
'_utmb',
'_utmc',
'_utma',
'_utmz',
'PHPSESSID
],

identifyUser: function () {
//var resp = this.httpGet(this.siteUrl);
//this.userName =
var resp = this.httpGet(this.siteUrl);
this.userName = "Bente, or perhaps Axel";
}
});

Men når jeg lukker vinduet kommer denne fejlmeddelse:

: [JavaScript Application]
:
: Script Error: SyntaxError: unterminated string literal

Hvad er der galt?


--
Ikke ham på Facebook.

Axel Hammerschmidt (08-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 08-11-10 01:25

Axel Hammerschmidt <hlexa@hotmail.com> wrote:

> Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>
> <snip>
>
> X-post: dk.edb.sikkerhed og dk.edb.programmering.java
>
> Jeg prøver med den her:
>
> // Authors:
> // Axel Hammerschmidt <e-mail@ddress.removed>
> register({
> name: "Version2",
> url: 'http://version2.dk',
> domains: [ 'version2.dk' ],
> sessionCookieNames: [
> '_utmb',
> '_utmc',
> '_utma',
> '_utmz',
> 'PHPSESSID
> ],

Der manglede et "'" efter PHPSESSID.

Det er sgu' ikke nemt at være script kiddie :)

> identifyUser: function () {
> //var resp = this.httpGet(this.siteUrl);
> //this.userName =
> var resp = this.httpGet(this.siteUrl);
> this.userName = "Bente, or perhaps Axel";
> }
> });

Her skal blocken:

//this.userName =
var resp = this.httpGet(this.siteUrl);

være på een og samme linie, sådan:

//this.userName = var resp = this.httpGet(this.siteUrl);

Det har jeg osse rettet for V2.

Det undre mig med det dobbelt-slash først i linien. Er det ikke et
comment tegn?

Men der kommer stadig ikke noget frem i Firesheep sidepanelet i Firefox
som man skal kunne klikke på for at overtage sessionen.

Jeg tror der er flere fejl i "identifyUser" blokken.

Nogle eksempler, der virker.

Det kunne være (som i Hotmail, aka Windows Live):

identifyUser: function () {
//var resp = this.httpGet(this.siteUrl);
//this.userName =
resp.body.querySelector("#idWinLiveIdValue").textContent.trim();
this.userName = "Alice, or perhaps Bob";
}

(Huskat fra "//this.userName" og til ".trim();" er på een og samme
linie)

Det er den jeg har hentet "inspiration" fra.

I sidepanelet kommer der så et link benævnt:

: Alice, or perhaps Bob
: Wndows Live.

Eller, et andet login som jeg har hvor der osse ligger et script som
virker i Firesheep:

New York Times:

identifyUser: function() {
var resp = this.httpGet(this.siteUrl);
this.userName = resp.body.querySelectorAll("#memberTools
a")[1].innerHTML;
}

(Fra "this.userName" og til ".innerHTML;" står på een og samme linie)

Der kommer der i sidepanelet:

: mit brugernavn
: New York Times

Der er osse en for mig mystisk forskel på Windows Live og New York Times
script'ene, idet der ikke er dobbelt-slash'ene i "identifyUser" blokken
for sidstnævnte. Men de virker begge to upåklageligt.


--
Ikke ham på Facebook.

Kent Friis (08-11-2010)
Kommentar
Fra : Kent Friis


Dato : 08-11-10 17:12

Den Mon, 8 Nov 2010 01:25:00 +0100 skrev Axel Hammerschmidt:
> Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>
>> Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>>
>> <snip>
>
> Der manglede et "'" efter PHPSESSID.
>
> Det er sgu' ikke nemt at være script kiddie :)
>
>> identifyUser: function () {
>> //var resp = this.httpGet(this.siteUrl);
>> //this.userName =
>> var resp = this.httpGet(this.siteUrl);
>> this.userName = "Bente, or perhaps Axel";
>> }
>> });
>
> Her skal blocken:
>
> //this.userName =
> var resp = this.httpGet(this.siteUrl);
>
> være på een og samme linie, sådan:
>
> //this.userName = var resp = this.httpGet(this.siteUrl);
>
> Det har jeg osse rettet for V2.
>
> Det undre mig med det dobbelt-slash først i linien. Er det ikke et
> comment tegn?

Jo.

Mvh
Kent
--
"The Brothers are History"

Axel Hammerschmidt (09-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 09-11-10 18:53

Axel Hammerschmidt wrote:

> Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>
>> Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>>
>> <snip>
>>
>> X-post: dk.edb.sikkerhed og dk.edb.programmering.java
>>
>> Jeg prøver med den her:
>>
>> // Authors:
>> // Axel Hammerschmidt <e-mail@ddress.removed>
>> register({
>> name: "Version2",
>> url: 'http://version2.dk',
>> domains: [ 'version2.dk' ],
>> sessionCookieNames: [
>> '_utmb',
>> '_utmc',
>> '_utma',
>> '_utmz',
>> 'PHPSESSID
>> ],
>
> Der manglede et "'" efter PHPSESSID.

Tegnet er som sagt tilføjet.

Nu har jeg undersøgt med Ethereal. Sådan her sætter V2 Cookies når man
logger ind:

: Cookie:
: __utma=xxxxxxxxx.yyyyyyyyyy.z.aaaaaaaaaa.bbbbbbbbbb.c;
: __utmb=xxxxxxxxx.y.zz.aaaaaaaaaa; __utmc=bbbbbbbbbb;
: __utmz=xxxxxxxxx.yyyyyyyyyy.z.a.utmcsr=google|utmccn=(organic)|
: utmcmd=organic|utmctr=Firesheep; PHPSESSID=0ez

Jeg har erstattet cookieværdierne med x, y osv. Det hele skal på een
linie. De lodrette streger er UNIX Pipes.

Man bemærker jo cookie "_utmz" med "|utmcctr=Firesheep;" til sidst.


--
Oops! I did it again.

Axel Hammerschmidt (09-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 09-11-10 19:02

Axel Hammerschmidt <hlexa@hotmail.com> wrote:

> utmctr=Firesheep

Og intet på Google


--
Ikke ham på Facebook.

Axel Hammerschmidt (09-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 09-11-10 19:08

Axel Hammerschmidt <hlexa@hotmail.com> wrote:

> Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>
> > utmctr=Firesheep
>
> Og intet på Google

Men mange med utmcsr=google.


--
Ikke ham på Facebook.

Chano Andersen (10-11-2010)
Kommentar
Fra : Chano Andersen


Dato : 10-11-10 00:32

Den 09-11-2010 18:52, Axel Hammerschmidt skrev:
> Nu har jeg undersøgt med Ethereal. Sådan her sætter V2 Cookies når man
> logger ind:

Så er det da tid til at opgradere til Wireshark. ;)

>
> : Cookie:
> : __utma=xxxxxxxxx.yyyyyyyyyy.z.aaaaaaaaaa.bbbbbbbbbb.c;
> : __utmb=xxxxxxxxx.y.zz.aaaaaaaaaa; __utmc=bbbbbbbbbb;
> : __utmz=xxxxxxxxx.yyyyyyyyyy.z.a.utmcsr=google|utmccn=(organic)|
> : utmcmd=organic|utmctr=Firesheep; PHPSESSID=0ez
>
> Jeg har erstattet cookieværdierne med x, y osv. Det hele skal på een
> linie. De lodrette streger er UNIX Pipes.

Ud over PHPSESSID til sidst, så ligner det hele bare noget google cookie
snask, som bruges af google analytics.

- Chano Andersen

Axel Hammerschmidt (10-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 10-11-10 01:09

Chano Andersen <sunsite092009@chanoandersen.dk> wrote:

> Den 09-11-2010 18:52, Axel Hammerschmidt skrev:
>
> > Nu har jeg undersøgt med Ethereal. Sådan her sætter V2 Cookies når man
> > logger ind:
>
> Så er det da tid til at opgradere til Wireshark. ;)
>
> >
> > : Cookie:
> > : __utma=xxxxxxxxx.yyyyyyyyyy.z.aaaaaaaaaa.bbbbbbbbbb.c;
> > : __utmb=xxxxxxxxx.y.zz.aaaaaaaaaa; __utmc=bbbbbbbbbb;
> > : __utmz=xxxxxxxxx.yyyyyyyyyy.z.a.utmcsr=google|utmccn=(organic)|
> > : utmcmd=organic|utmctr=Firesheep; PHPSESSID=0ez
> >
> > Jeg har erstattet cookieværdierne med x, y osv. Det hele skal på een
> > linie. De lodrette streger er UNIX Pipes.
>
> Ud over PHPSESSID til sidst, så ligner det hele bare noget google cookie
> snask, som bruges af google analytics.

Ja, men hvad med "utmctr=Firesheep"?

Firesheep er kun godt en uge gammel (fra den 25. oktober) og det har
været diskuteret en del, hvad den an komme til at betyde for Fjæsbog,
Twit, Google osv på åbne trådløse netværk.

Har Google mon fundet en fix?

Og er det den der forhindre, at jeg kan snuppe min egen Version2 session
med Firesheep?

Det er de eneste Cookies fra V2 der bliver sat.


--
Ikke ham på Facebook.

Chano Andersen (10-11-2010)
Kommentar
Fra : Chano Andersen


Dato : 10-11-10 18:08

Den 10-11-2010 01:08, Axel Hammerschmidt skrev:
> Ja, men hvad med "utmctr=Firesheep"?
>

Jeg vil tro, at det er en Firesheep selv har indsat. Som extension kan
man pille ved alting.

> Har Google mon fundet en fix?

Næppe noget ud over SSL, som alle Google services understøtter.

> Og er det den der forhindre, at jeg kan snuppe min egen Version2 session
> med Firesheep?

Det kan en cookie ikke gøre. Men PHPSESSID er PHP's session cookie, en
PHP session ligger på serveren, og hverken du eller FireSheep ved hvad
den indeholder. Det ved kun serveren. Derfor kan det sagtens tænkes, at
man har lavet numre med indholdet, og på den måde sikret at det ikke kan
opsnappes. En anden mulighed er, at de kører login via SSL.

- Chano Andersen

Axel Hammerschmidt (11-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 11-11-10 05:52

Chano Andersen <sunsite092009@chanoandersen.dk> wrote:

> Den 10-11-2010 01:08, Axel Hammerschmidt skrev:
>
> > Ja, men hvad med "utmctr=Firesheep"?
> >
>
> Jeg vil tro, at det er en Firesheep selv har indsat. Som extension kan
> man pille ved alting.
>
> > Har Google mon fundet en fix?
>
> Næppe noget ud over SSL, som alle Google services understøtter.

Nej. Du har ret. Jeg har fået denne forklaring på tilstedeværelsen af
Firesheep i Cookie'en.

: This just means you searched for Firesheep somewhere and that search
: term was placed in the cookie.
:
: This just means you searched for Firesheep somewhere and that search
: term was placed in the cookie.
:
: From
:
: <http://www.randycullom.com/chatterbox/archives/2008/10/google_analyti
: c.html>
:
: "utmctr = The keyword phrase someone typed into the search engine.
: Really useful this one, however remember it shows the last search
: data, not how someone originally found you."

Jeg tror jeg skal kigge nærmere på det script i Firesheep, der gør det
muligt at snuppe en Google session.

Der ligger 26 scripts. Jeg startede med de simple, og så selvfølgelig
dem hvor jeg har logon.

> > Og er det den der forhindre, at jeg kan snuppe min egen Version2 session
> > med Firesheep?
>
> Det kan en cookie ikke gøre. Men PHPSESSID er PHP's session cookie, en
> PHP session ligger på serveren, og hverken du eller FireSheep ved hvad
> den indeholder. Det ved kun serveren. Derfor kan det sagtens tænkes, at
> man har lavet numre med indholdet, og på den måde sikret at det ikke kan
> opsnappes.

Hvis det er indholdet af Cookie'en, så ved Firesheep det osse. Den
snupper en kopi.

> En anden mulighed er, at de kører login via SSL.

Det skulle ikke forhindre at man kan overtage en session med Firesheep,
og er netop grunden til at Firesheep er et sikkerhedsmæssig problem.


--
Ikke ham på Facebook.

Chano Andersen (11-11-2010)
Kommentar
Fra : Chano Andersen


Dato : 11-11-10 19:00

Den 11-11-2010 05:52, Axel Hammerschmidt skrev:
> Chano Andersen<sunsite092009@chanoandersen.dk> wrote:
>
>> Det kan en cookie ikke gøre. Men PHPSESSID er PHP's session cookie, en
>> PHP session ligger på serveren, og hverken du eller FireSheep ved hvad
>> den indeholder. Det ved kun serveren. Derfor kan det sagtens tænkes, at
>> man har lavet numre med indholdet, og på den måde sikret at det ikke kan
>> opsnappes.
>
> Hvis det er indholdet af Cookie'en, så ved Firesheep det osse. Den
> snupper en kopi.

PHP Sessionen ligger kun på serveren, og identificeres ud fra et unikt
ID i en cookie.

>> En anden mulighed er, at de kører login via SSL.
>
> Det skulle ikke forhindre at man kan overtage en session med Firesheep,
> og er netop grunden til at Firesheep er et sikkerhedsmæssig problem.

Det kommer an på hvad der udveksles mellem browser og server, i
forbindelse med login. Jeg kunne sagtens forestille mig en model, hvor
man sender nogle data frem og tilbage, som konstant bliver kontrolleret
via en SSL forbindelse, mens alt andet ikke køres via SSL. I det øjeblik
der er mismatch mellem SSL data og ikke SSL data, så bliver sessionen
lukket, og man skal logge på igen.

- Chano Andersen

Axel Hammerschmidt (11-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 11-11-10 21:16

Chano Andersen:

> Den 11-11-2010 05:52, Axel Hammerschmidt skrev:
>
>> Chano Andersen<sunsite092009@chanoandersen.dk> wrote:
>>
>>> Det kan en cookie ikke gøre. Men PHPSESSID er PHP's session cookie,
>>> en PHP session ligger på serveren, og hverken du eller FireSheep ved
>>> hvad den indeholder. Det ved kun serveren. Derfor kan det sagtens
>>> tænkes, at man har lavet numre med indholdet, og på den måde sikret
>>> at det ikke kan opsnappes.
>>
>> Hvis det er indholdet af Cookie'en, så ved Firesheep det osse. Den
>> snupper en kopi.
>
> PHP Sessionen ligger kun på serveren, og identificeres ud fra et unikt
> ID i en cookie.

Ja, men den Cookie, med indhold har Firesheep osse snuppet.

>>> En anden mulighed er, at de kører login via SSL.
>>
>> Det skulle ikke forhindre at man kan overtage en session med
>> Firesheep, og er netop grunden til at Firesheep er et
>> sikkerhedsmæssig problem.
>
> Det kommer an på hvad der udveksles mellem browser og server, i
> forbindelse med login. Jeg kunne sagtens forestille mig en model, hvor
> man sender nogle data frem og tilbage, som konstant bliver
> kontrolleret via en SSL forbindelse, mens alt andet ikke køres via
> SSL. I det øjeblik der er mismatch mellem SSL data og ikke SSL data,
> så bliver sessionen lukket, og man skal logge på igen.

Men kan det lade sig gøre med Cookies?


--
Oops!... I did it again

Chano Andersen (11-11-2010)
Kommentar
Fra : Chano Andersen


Dato : 11-11-10 23:36

Den 11-11-2010 21:15, Axel Hammerschmidt skrev:
> Chano Andersen:
>> PHP Sessionen ligger kun på serveren, og identificeres ud fra et unikt
>> ID i en cookie.
>
> Ja, men den Cookie, med indhold har Firesheep osse snuppet.

Så længe den ikke kun sendes over SSL, ja, men det er kun sessions
identifikationen, ikke hvad der måtte sendes over en SSL forbindelse.

>> SSL. I det øjeblik der er mismatch mellem SSL data og ikke SSL data,
>> så bliver sessionen lukket, og man skal logge på igen.
>
> Men kan det lade sig gøre med Cookies?

Du kan forhindre at en cookie sendes over en IKKE SSL forbindelse, på
den måde sikre du effektivt, at data ikke kan aflyttes.

Den bedste løsning er naturligvis at man bare kører det hele over SSL,
så har ildfåret ikke en chance, men det er ikke altid lige praktisk, da
anskaffelse af SSL certifikater kan være en dyr omgang.

- Chano Andersen

Christian Laursen (12-11-2010)
Kommentar
Fra : Christian Laursen


Dato : 12-11-10 07:50

On 11/11/10 23:36, Chano Andersen wrote:
> Den bedste løsning er naturligvis at man bare kører det hele over SSL,
> så har ildfåret ikke en chance, men det er ikke altid lige praktisk, da
> anskaffelse af SSL certifikater kan være en dyr omgang.

Det er efterhånden en dårlig undskyldning.

Man kan få et SSL-certifikat der er gyldigt et år til ca. 60 kr. (Og
sikkert billigere også) Hvis det skal være wilcard kommer man op omkring
815 kr.

Det er billigt nok til at jeg personligt kan finde på at købe
certifikater privat blot til test.

En lidt bedre undskyldning er nok, at det koster en IP-adresse pr.
hostnavn/certifikat så længe folk bliver ved med at køre XP, så vi ikke
kan bruge SNI. Men så vidt jeg ved er SSL stadig en gyldig grund, når
man skal have tildelt flere IP-adresser, så det bør heller ikke være et
problem i praksis før vi løber tør for adresser om godt et års tid.

--
Christian Laursen

Chano Andersen (12-11-2010)
Kommentar
Fra : Chano Andersen


Dato : 12-11-10 20:15

Den 12-11-2010 07:50, Christian Laursen skrev:
> On 11/11/10 23:36, Chano Andersen wrote:
>> Den bedste løsning er naturligvis at man bare kører det hele over SSL,
>> så har ildfåret ikke en chance, men det er ikke altid lige praktisk, da
>> anskaffelse af SSL certifikater kan være en dyr omgang.
>
> Det er efterhånden en dårlig undskyldning.
>
> Man kan få et SSL-certifikat der er gyldigt et år til ca. 60 kr. (Og
> sikkert billigere også) Hvis det skal være wilcard kommer man op omkring
> 815 kr.

Hvem sælger til den pris? Og er det så nogle hvor udstederen er godkendt
af browserene, eller er det bare nogen der udsteder dem uden at være
inkluderet i Windows/Diverse browsere?

- Chano Andersen

Christian Laursen (13-11-2010)
Kommentar
Fra : Christian Laursen


Dato : 13-11-10 00:37

On 11/12/10 20:15, Chano Andersen wrote:
> Den 12-11-2010 07:50, Christian Laursen skrev:

>> Man kan få et SSL-certifikat der er gyldigt et år til ca. 60 kr. (Og
>> sikkert billigere også) Hvis det skal være wilcard kommer man op omkring
>> 815 kr.
>
> Hvem sælger til den pris? Og er det så nogle hvor udstederen er godkendt
> af browserene, eller er det bare nogen der udsteder dem uden at være
> inkluderet i Windows/Diverse browsere?

Fx. namecheap.com.

Det er RapidSSL certifikater, og de virker i alle de browsere, folk
benytter i dag.

--
Christian Laursen

Chano Andersen (13-11-2010)
Kommentar
Fra : Chano Andersen


Dato : 13-11-10 10:23

Den 13-11-2010 00:36, Christian Laursen skrev:
> On 11/12/10 20:15, Chano Andersen wrote:
>> Den 12-11-2010 07:50, Christian Laursen skrev:
>
>>> Man kan få et SSL-certifikat der er gyldigt et år til ca. 60 kr. (Og
>>> sikkert billigere også) Hvis det skal være wilcard kommer man op omkring
>>> 815 kr.
>>
>> Hvem sælger til den pris? Og er det så nogle hvor udstederen er godkendt
>> af browserene, eller er det bare nogen der udsteder dem uden at være
>> inkluderet i Windows/Diverse browsere?
>
> Fx. namecheap.com.
>
> Det er RapidSSL certifikater, og de virker i alle de browsere, folk
> benytter i dag.
>

De 60 kroner som du nævner ovenfor, lader til at være en kampagne pris,
normalen er ca. 100, afhængig af kursen. Det er dog stadig pænt billigt,
selvom jeg stadig foretrækker Self-Signed til min egen server. Formålet
her er nemlig kun at kryptere data, og her er der ikke noget ekstra
opnået ved at betale for certifikatet. ;)

- Chano Andersen

Axel Hammerschmidt (18-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 18-11-10 06:21

Axel Hammerschmidt <hlexa@hotmail.com> wrote:

> Chano Andersen:
>
> > Den 11-11-2010 05:52, Axel Hammerschmidt skrev:
> >
> >> Chano Andersen<sunsite092009@chanoandersen.dk> wrote:
> >>
> >>> Det kan en cookie ikke gøre. Men PHPSESSID er PHP's session cookie,
> >>> en PHP session ligger på serveren, og hverken du eller FireSheep ved
> >>> hvad den indeholder. Det ved kun serveren. Derfor kan det sagtens
> >>> tænkes, at man har lavet numre med indholdet, og på den måde sikret
> >>> at det ikke kan opsnappes.
> >>
> >> Hvis det er indholdet af Cookie'en, så ved Firesheep det osse. Den
> >> snupper en kopi.
> >
> > PHP Sessionen ligger kun på serveren, og identificeres ud fra et unikt
> > ID i en cookie.
>
> Ja, men den Cookie, med indhold har Firesheep osse snuppet.

Og det var netop PHPSESSID.

Nu har jeg lagt noget kode, der virker, i en kommentar på Version2, som
man kan "side-jacke" et logon til Version2 med i Firesheep.

Se nærmere i kommentaren her, link:

<http://www.version2.dk/artikel/16871-efter-firesheep-facebook-og-twitte
r-scorer-dumpekarakter-paa-sikkerhed>

Kort link:

http://tinyurl.com/24ke5v9

Og ellers er der oprettet en Google gruppe om Firesheep:

http://groups.google.com/group/firesheep


--
Ikke ham på Facebook.

Tommy (18-11-2010)
Kommentar
Fra : Tommy


Dato : 18-11-10 15:39

Den 18-11-2010 06:20, Axel Hammerschmidt skrev:
> Og det var netop PHPSESSID.
>
> Nu har jeg lagt noget kode, der virker, i en kommentar på Version2, som
> man kan "side-jacke" et logon til Version2 med i Firesheep.
>
> Se nærmere i kommentaren her, link:
>
> <http://www.version2.dk/artikel/16871-efter-firesheep-facebook-og-twitte
> r-scorer-dumpekarakter-paa-sikkerhed>
>
> Kort link:
>
> http://tinyurl.com/24ke5v9

Det var de åbenbart ikke så glade for at blive gjort opmærksom på

Axel Hammerschmidt (18-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 18-11-10 16:12

Axel Hammerschmidt <hlexa@hotmail.com> wrote:

<snip>

> Nu har jeg lagt noget kode, der virker, i en kommentar på Version2, som
> man kan "side-jacke" et logon til Version2 med i Firesheep.
>
> Se nærmere i kommentaren her, link:
>
> <http://www.version2.dk/artikel/16871-efter-firesheep-facebook-og-twitte
> r-scorer-dumpekarakter-paa-sikkerhed>
>
> Kort link:
>
> http://tinyurl.com/24ke5v9

De lod ikke vente på sig.

: Hej Axel.
:
: Du har skrevet en kommentar på Version2, hvori du viser koden til at
: stjæle andres identiteter på Version2 gennem Firesheep og samtidig
: opfordrer andre til at prøve det.

<snip: se linket herover>

: Vi har fjernet din kommentar og jeg har skrevet et indlæg, hvor jeg
: kort opridser, at fordi det er muligt er let, er det ikke nødvendigvis
: lovligt eller smart at opfordre til.
:
: Vi har midlertidig spærret din adgang til debatten. Jeg vil gerne bede
: dig om at bekræfte, at du har læst denne mail - så skal vi nok genåbne
: den.
:
: Vi er selvfølgelig meget interesserede i en debat om Firesheeop og de
: sikkerhedshuller, den sætter fornyet fokus på, men vi vil gerne
: frabede os, at du med kode og kommentar opfordrer til at stjæle andre
: brugeres Version2-identiteter.
:
: Vi vil nu arbejde med vores leverandør for at undersøge, hvordan vi om
: muligt kan dæmme op for denne problematik.
:
:
: Med venlig hilsen
: Casper Thomsen
: Chef for digitale medier
:
: Mediehuset Ingeniøren A/S
: Skelbækgade 4
: DK-1717 København V
: t +45 3326 5360
: m +45 2972 2473
: cat@ing.dk
: ing.dk
: version2.dk

Min kommentar med koden på Version2 er altså blevet fjernet.

Nu er det ikke rigtigt, at jeg "opfordrer til at stjæle andre brugeres
Version2-identiteter".

Jeg viser et sikkerhedshul og skrev, at man kunne afprøve koden med
kabel og en hub, underforstået med sin egen logon, men jeg har aldrig
opfordret til, at man stjæler andres identitet.

Og når man ved, at cookie'en er PHPSESSID, så skulle det ikke være så
svært for andre, at skrive koden til Firesheep.


--
Ikke ham på Facebook.

Kim Ludvigsen (18-11-2010)
Kommentar
Fra : Kim Ludvigsen


Dato : 18-11-10 16:57

Axel Hammerschmidt skrev:

> Nu er det ikke rigtigt, at jeg "opfordrer til at stjæle andre brugeres
> Version2-identiteter".

Det afhænger jo nok af øjnene, der læser det. jeg synes, det
er fornemt, at de ikke bare banner dig for evigt. Kudos
herfra til version2.

--
Mvh. Kim Ludvigsen
Undgå virus og andet snavs på computeren:
http://pc-sikkerhed.dk

Axel Hammerschmidt (18-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 18-11-10 17:23

Look what the cat dragged in - Kim Ludvigsen:

> Axel Hammerschmidt skrev:
>
>> Nu er det ikke rigtigt, at jeg "opfordrer til at stjæle andre
>> brugeres Version2-identiteter".
>
> Det afhænger jo nok af øjnene, der læser det. jeg synes, det
> er fornemt, at de ikke bare banner dig for evigt. Kudos
> herfra til version2.

Tja!

Nu har de fjernet det jeg skrev på V2, men bortses fra at Casper
Thomsen sviner mig til med beskyldninger om at "opfordrer til at stjæle
andre brugeres Version2-identiteter" så var det eneste jeg opfordrede
til, at man holder sig fra åbne- eller WEP krypterede trådløse netværk,
der ikke benytter L2 Separation/Isolation.

Og vedr at være banned fra V2: jeg kan jo bare sætte mig ned på
McDonalds med min Macbook og Firesheep


--
Banned from Version2.dk for writing a Firesheep script.

Kim Ludvigsen (18-11-2010)
Kommentar
Fra : Kim Ludvigsen


Dato : 18-11-10 17:42

Axel Hammerschmidt skrev:
> Look what the cat dragged in - Kim Ludvigsen:
>
>> Axel Hammerschmidt skrev:
>>
>>> Nu er det ikke rigtigt, at jeg "opfordrer til at stjæle andre
>>> brugeres Version2-identiteter".
>>
>> Det afhænger jo nok af øjnene, der læser det. jeg synes, det
>> er fornemt, at de ikke bare banner dig for evigt. Kudos
>> herfra til version2.
>
> Tja!

Jeg synes, at det vidner om seriøsitet hos Version2, at de
ikke bare banner dig for livstid. Mange andre var blevet så
forskrækkede, at de netop ville have taget det skridt.

> Thomsen sviner mig til med beskyldninger om at "opfordrer til at stjæle
> andre brugeres Version2-identiteter" så var det eneste jeg opfordrede
> til, at man holder sig fra åbne- eller WEP krypterede trådløse netværk,
> der ikke benytter L2 Separation/Isolation.

Din opfordring til at afprøve koden er meget værre end den
gamle sag i Computerworlds forum med et link til at lægge en
server ned. Der blev linket ledsaget af en opfordring til
ikke at prøve.

Det kan godt være, du ikke selv opfatter det som en
opfordring til at stjæle andres koder, men jeg forstår
udmærket, at Version2 opfatter det sådan. Jeg vil også
opfatte det sådan, og jeg tror, en dommer vil have samme
opfattelse, så du ville kunne dømmes for at opfordre til
ulovligheder.

Disclaimer, jeg kender kun sagen fra dine indlæg her, så der
er naturligvis en masse gæt med i ovenstående.

--
Mvh. Kim Ludvigsen
Læs om verdens første webcam og en ekstremt dyr kaffemaskine:
http://kimludvigsen.dk/diverse-trojan-webcam.php

Axel Hammerschmidt (18-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 18-11-10 18:13

Kim Ludvigsen <usenet@kimludvigsen.dk> wrote:

<snip>

> Din opfordring til at afprøve koden er meget værre end den
> gamle sag i Computerworlds forum med et link til at lægge en
> server ned. Der blev linket ledsaget af en opfordring til
> ikke at prøve.

Du er ved at blive forkalket. I den pågældende sag lagde han faktisk den
norske server ned og påførte firmaet tab. Det var det han blev dømt for.

> Det kan godt være, du ikke selv opfatter det som en
> opfordring til at stjæle andres koder, men jeg forstår
> udmærket, at Version2 opfatter det sådan. Jeg vil også
> opfatte det sådan, og jeg tror, en dommer vil have samme
> opfattelse, så du ville kunne dømmes for at opfordre til
> ulovligheder.

Som sagt har jeg ikke *opfordret* "til at stjæle andre brugeres
Version2-identiteter". Og det er ikke ulovligt at afpørve Firesheep med
et script på sit eget logon. Og det er heller ikke ulovligt at poste
scriptet så andre kan prøve, med deres eget logon forstås.

> Disclaimer, jeg kender kun sagen fra dine indlæg her, så der
> er naturligvis en masse gæt med i ovenstående.

Og megen fri fantasi.


--
Ikke ham på Facebook.

Kim Ludvigsen (18-11-2010)
Kommentar
Fra : Kim Ludvigsen


Dato : 18-11-10 18:51

Axel Hammerschmidt skrev:
> Kim Ludvigsen<usenet@kimludvigsen.dk> wrote:
>
>> Din opfordring til at afprøve koden er meget værre end den
>> gamle sag i Computerworlds forum med et link til at lægge en
>> server ned. Der blev linket ledsaget af en opfordring til
>> ikke at prøve.
>
> Du er ved at blive forkalket. I den pågældende sag lagde han faktisk den
> norske server ned og påførte firmaet tab. Det var det han blev dømt for.

Nej, det var to forskellige personer. èn, der fortalte om
hullet og bragte URL'en - og advarede mod at afprøve den. Og
én (eller rettere flere), der afprøvede på URL'en. Ham, der
bragte den blev ikke dømt, men det gjorde ham der afprøvede
den, nedlagde serveren i første forsøg og derefter gentagne
gange atter afprøvede URL'en.

>> Det kan godt være, du ikke selv opfatter det som en
>> opfordring til at stjæle andres koder, men jeg forstår
>> udmærket, at Version2 opfatter det sådan. Jeg vil også
>> opfatte det sådan, og jeg tror, en dommer vil have samme
>> opfattelse, så du ville kunne dømmes for at opfordre til
>> ulovligheder.
>
> Som sagt har jeg ikke *opfordret* "til at stjæle andre brugeres
> Version2-identiteter".

Efter hvad du selv fortæller, har du opfordret andre til at
afprøve koden.

> Og det er ikke ulovligt at afpørve Firesheep med
> et script på sit eget logon. Og det er heller ikke ulovligt at poste
> scriptet så andre kan prøve, med deres eget logon forstås.

Version2 har tilsyneladende opfattet opfordringen som noget
andet, end du beskriver ovenfor.

--
Mvh. Kim Ludvigsen
Verdens mest præcise og detaljerede horoskoper:
http://ugens-horoskop.dk

Axel Hammerschmidt (18-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 18-11-10 19:46

Look what the cat dragged in - Kim Ludvigsen:

<snip>

>> Og det er ikke ulovligt at afpørve Firesheep med
>> et script på sit eget logon. Og det er heller ikke ulovligt at
>> poste scriptet så andre kan prøve, med deres eget logon forstås.
>
> Version2 har tilsyneladende opfattet opfordringen som noget
> andet, end du beskriver ovenfor.

Version2 kan gøre lige hvad der passer dem, det er et privat
foretagende og de skal ikke stå til regnskab, når de smider folk ud.

På den anden side, så falder det tibage på dem selv når de som en del
af pressen udbreder kendskab til Firesheep og hænger andre sites ud for
manglende sikkerhed og så fjerner indlæg der demonstrerer, at deres
eget site osse er usikker.

Det er ikke særlig betryggende for deres tilbageværende brugere.


--
Banned from Version2.dk for writing a Firesheep script.

Axel Hammerschmidt (20-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 20-11-10 04:27

Axel Hammerschmidt <hlexa@hotmail.com> wrote:

<snip>

> Det er ikke særlig betryggende for deres tilbageværende brugere.

Og så er der iøvrigt ingen tvingende grund til at nogen bruger Firesheep
til Version2.

Logon er slet ikke krypteret, så det er nemt at sniffe både brugernavn
og password med Wireshark og Filter: http.request.methed contains
"POST".

Man skal måske lede lidt, men så står både brugernavn og password der i
klar tekst. Og det der er sniffet i f.eks S-toget kan gemmes i en fil
til senere analyse.

Det er ret skræmmende.

Kort sagt. Man skal holde sig fra åbne- og WEP krypterede netværk uden
L2 Isolation/Separation når man vil benytte sine konti. Det bør være
konklusionen her.

Det er heller ikke så galt, med den udbredelse, som det mer' sikre
mobilt bredbånd efterhånden har.

Så kan man nøjes med at læse artiklerne på Version2 mens man sidder i
S-toget, vis man vil bruge tiden på det.


--
Ikke ham på Facebook.

Chano Andersen (23-11-2010)
Kommentar
Fra : Chano Andersen


Dato : 23-11-10 21:40

Den 20-11-2010 04:26, Axel Hammerschmidt skrev:
> Kort sagt. Man skal holde sig fra åbne- og WEP krypterede netværk uden
> L2 Isolation/Separation når man vil benytte sine konti. Det bør være
> konklusionen her.

Tror bare jeg bruger min mulighed for at lave VPN til firmaets netværk i
stedet, så er den krypteret indtil et netværk jeg stoler på. :P

- Chano Andersen

Kent Friis (18-11-2010)
Kommentar
Fra : Kent Friis


Dato : 18-11-10 20:07

Den Thu, 18 Nov 2010 23:41:45 +0700 skrev Kim Ludvigsen:
> Axel Hammerschmidt skrev:
>> Look what the cat dragged in - Kim Ludvigsen:
>>
>>> Axel Hammerschmidt skrev:
>>>
>>>> Nu er det ikke rigtigt, at jeg "opfordrer til at stjæle andre
>>>> brugeres Version2-identiteter".
>>>
>>> Det afhænger jo nok af øjnene, der læser det. jeg synes, det
>>> er fornemt, at de ikke bare banner dig for evigt. Kudos
>>> herfra til version2.
>>
>> Tja!
>
> Jeg synes, at det vidner om seriøsitet hos Version2, at de
> ikke bare banner dig for livstid. Mange andre var blevet så
> forskrækkede, at de netop ville have taget det skridt.

Og jeg synes det vidner om useriøsitet. Man kan sagtens bringe en
artikel om "Ha ha, Facebook er usikre", med beskrivelse af hvor man
finder programmet. Men når der pludselig er nogen der gør dem
opmærksomme på at de selv har præcist samme hul (sig mig, læser de
ikke deres egne artikler?), er det pludselig ikke sjovt længere.

Hvorfor i det hele taget bringe artiklen, hvis man ikke er interesseret
i at fejlen bliver kendt? Udover altså lige netop "Ha ha, Facebook
er usikre".

Mvh
Kent
--
"The Brothers are History"

Kim Ludvigsen (18-11-2010)
Kommentar
Fra : Kim Ludvigsen


Dato : 18-11-10 20:33

Kent Friis skrev:
> Den Thu, 18 Nov 2010 23:41:45 +0700 skrev Kim Ludvigsen:
>
>> Jeg synes, at det vidner om seriøsitet hos Version2, at de
>> ikke bare banner dig for livstid. Mange andre var blevet så
>> forskrækkede, at de netop ville have taget det skridt.
>
> Og jeg synes det vidner om useriøsitet. Man kan sagtens bringe en
> artikel om "Ha ha, Facebook er usikre", med beskrivelse af hvor man
> finder programmet. Men når der pludselig er nogen der gør dem
> opmærksomme på at de selv har præcist samme hul (sig mig, læser de
> ikke deres egne artikler?), er det pludselig ikke sjovt længere.

Hvis det er tilfældet, ja, så trækker det helt klart ned i
karakteren.

--
Mvh. Kim Ludvigsen
Undgå virus og andet snavs på computeren:
http://pc-sikkerhed.dk

Kent Friis (18-11-2010)
Kommentar
Fra : Kent Friis


Dato : 18-11-10 23:05

Den Thu, 18 Nov 2010 16:12:02 +0100 skrev Axel Hammerschmidt:
> Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>
> : Vi er selvfølgelig meget interesserede i en debat om Firesheeop og de
> : sikkerhedshuller, den sætter fornyet fokus på, men vi vil gerne
> : frabede os, at du med kode og kommentar opfordrer til at stjæle andre
> : brugeres Version2-identiteter.

Hvad med at sende koden til folkene bag Firesheep, med beskrivelse af
at det drejer sig om en dansk netavis der synes det er helt ok at de
selv linker til Firesheep når det er andre det går ud over, men
fjerner oplysninger om samme hul i deres eget system?

Hvis de kan lokkes til at inkludere koden, vil Version2 pludselig være
tvunget til at tage stilling til deres dobbeltmoral, og enten fjerne
omtalen af Firesheep, eller acceptere at det er lige så "sjovt" når
det er dem selv det går ud over.

Mvh
Kent
--
"The Brothers are History"

Axel Hammerschmidt (18-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 18-11-10 23:54

Kent Friis:

<snip>

> Hvad med at sende koden til folkene bag Firesheep, med beskrivelse
> af at det drejer sig om en dansk netavis der synes det er helt ok
> at de selv linker til Firesheep når det er andre det går ud over,
> men fjerner oplysninger om samme hul i deres eget system?
>
> Hvis de kan lokkes til at inkludere koden, vil Version2 pludselig
> være tvunget til at tage stilling til deres dobbeltmoral, og enten
> fjerne omtalen af Firesheep, eller acceptere at det er lige så
> "sjovt" når det er dem selv det går ud over.

Jeg tror ikke det er så svært at få scriptet inkluderet i fremtidige
udgaver af Firesheep. Der er en opdateringsknap til Firefox add-on'en
i OS X versionen. Så mon ikke den gør, at evt nye scripts hentes?

Så det er vel bare at poste den i Google gruppen.

Det er faktisk rigtig dumt af Casper Thomsen at handle på den måde,
som han gør. Havde han holdt diskussionen indenhus, havde
sandsynligheden for at scriptet til Version2 blev inkluderet sammen
med de øvrige scripts som udkommer med Firesheep været lille.

Og de der havde muligheden for at bruge scriptet efter at ha' læst om
det på Version2 ville nok være mindre tilbøjlige til at misbruge det.

Som man siger: If you can't beat them, join them.

Det er osse en rigtig dum situation han har bragt mig i. Hvis jeg
tilkendegiver, at jeg har læst hans mail og de så åbner for min
adgang, så har jeg osse implicet accepteret Casper Thomsens
løgnagtige påstande, bl.a at jeg "med kode og kommentar opfordrer til
at stjæle andre brugeres Version2-identiteter."

Iøvrigt er det kun min profil på Version2, som de har lukket. Min
profil på ing.dk virker stadig.


--
Banned from Version2.dk for writing a Firesheep script.

Axel Hammerschmidt (10-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 10-11-10 01:16

Chano Andersen <sunsite092009@chanoandersen.dk> wrote:

> Den 09-11-2010 18:52, Axel Hammerschmidt skrev:
> > Nu har jeg undersøgt med Ethereal. Sådan her sætter V2 Cookies når man
> > logger ind:
>
> Så er det da tid til at opgradere til Wireshark. ;)

Har lige hentet Wireshark 1.4.2 til Mac OS X.

Ethereal 0.99 på W2K var skam et fin release. Den har jeg haft meget
fornøjelse med


--
Ikke ham på Facebook.

Axel Hammerschmidt (11-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 11-11-10 21:20

Axel Hammerschmidt:

> Chano Andersen <sunsite092009@chanoandersen.dk> wrote:
>
>> Den 09-11-2010 18:52, Axel Hammerschmidt skrev:
>>
>> > Nu har jeg undersøgt med Ethereal. Sådan her sætter V2 Cookies når man
>> > logger ind:
>>
>> Så er det da tid til at opgradere til Wireshark. ;)
>
> Har lige hentet Wireshark 1.4.2 til Mac OS X.
>
> Ethereal 0.99 på W2K var skam et fin release. Den har jeg haft meget
> fornøjelse med

Og så er der jo MS Network Monitor. Nu i en version 3.4 til XP.

Den har osse Capture mulighed. Den er dog noget mer' kompliceret at ha' med
at gøre.


--
Oops!... I did it again

Arne Vajhøj (10-11-2010)
Kommentar
Fra : Arne Vajhøj


Dato : 10-11-10 20:41

On 07-11-2010 15:32, Axel Hammerschmidt wrote:
> X-post: dk.edb.sikkerhed og dk.edb.programmering.java
>
> Top post (så man nemt kan springe den over, hvis det ikke har nogen
> interesse):
>
> Egentlig burde det osse være sent til dk.edb.programmering.java. Men der
> er ikke meget liv i den gruppe.
>
> Og grunden er som sagt, at jeg har et indlæg på V2 om det forneden her:
>
> <http://www.version2.dk/artikel/16871-efter-firesheep-facebook-og-twitte
> r-scorer-dumpekarakter-paa-sikkerhed>
>
> Kort link:
>
> http://tinyurl.com/24ke5v9

Du har sendt til dk.edb.programmering.java, hvilket undrer mig
da jeg ikke kan se noget Java relevant i den tråd.

Arne

Axel Hammerschmidt (07-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 07-11-10 20:23

Axel Hammerschmidt <hlexa@hotmail.com> wrote:

<snip>

> Jeg er ikke nogen ørn til Java prgrammering, men lige nu prøver jeg at
> tilføje login Version2 til de tjenester, der kan sniffes.
>
> Det gør jeg dels ved at kigge på source ved login, dels ved at
> sammenligne med nogle af dem der kommer med Firesheep.

Og grunden til det er, at jeg har et indlæg på V2 om det forneden her:

<http://www.version2.dk/artikel/16871-efter-firesheep-facebook-og-twitte
r-scorer-dumpekarakter-paa-sikkerhed>

Kort link:

http://tinyurl.com/24ke5v9


--
Ikke ham på Facebook.

Klaus Ellegaard (30-10-2010)
Kommentar
Fra : Klaus Ellegaard


Dato : 30-10-10 20:53

"Per" <mesked@hotmail.com> writes:

> Det undrer mig, at Facebook ikke benytter sig af https:// protokollen og
>krypterer deres trafik. Det gør masser af E-mail services bla. Gmail - netop
>pga. sikkerhed og personfølsomme oplysninger.

Nu har jeg ikke en Facebook-konto, men den svarer da ganske fint på
hovedsiden https://www.facebook.com/ ?

Mvh.
   Klaus.

Per (30-10-2010)
Kommentar
Fra : Per


Dato : 30-10-10 20:56

Klaus Ellegaard wrote:
> "Per" <mesked@hotmail.com> writes:
>
>> Det undrer mig, at Facebook ikke benytter sig af https://
>> protokollen og krypterer deres trafik. Det gør masser af E-mail
>> services bla. Gmail - netop pga. sikkerhed og personfølsomme
>> oplysninger.
>
> Nu har jeg ikke en Facebook-konto, men den svarer da ganske fint på
> hovedsiden https://www.facebook.com/ ?
>
Hej Klaus !

Det var jeg godt nok ikke klar over, jeg takker mange gange.

Mvh. Per


Adam Sjøgren (08-11-2010)
Kommentar
Fra : Adam Sjøgren


Dato : 08-11-10 00:14

On Sun, 7 Nov 2010 22:49:28 +0100, Axel wrote:

> 'PHPSESSID
^
Du mangler en ' her.
> ],

> : Script Error: SyntaxError: unterminated string literal

> Hvad er der galt?

Se ovenfor.


Mvh.

--
"Angels can fly because they take themselves lightly." Adam Sjøgren
asjo@koldfront.dk

Axel Hammerschmidt (08-11-2010)
Kommentar
Fra : Axel Hammerschmidt


Dato : 08-11-10 01:27

Adam Sjøgren <asjo@koldfront.dk> wrote:

> On Sun, 7 Nov 2010 22:49:28 +0100, Axel wrote:
>
> > 'PHPSESSID
> ^
> Du mangler en ' her.
> > ],
>
> > : Script Error: SyntaxError: unterminated string literal
>
> > Hvad er der galt?
>
> Se ovenfor.

Yes! Se min anden posting


--
Ikke ham på Facebook.

Allan Willems Joerge~ (13-11-2010)
Kommentar
Fra : Allan Willems Joerge~


Dato : 13-11-10 12:11

Chano Andersen <sunsite092009@chanoandersen.dk> wrote:

> De 60 kroner som du nævner ovenfor, lader til at være en kampagne pris,
> normalen er ca. 100, afhængig af kursen. Det er dog stadig pænt billigt,
> selvom jeg stadig foretrækker Self-Signed til min egen server. Formålet
> her er nemlig kun at kryptere data, og her er der ikke noget ekstra
> opnået ved at betale for certifikatet. ;)

alternativt er StartSSL.com gratis for det de kalder level 1
certifikater (SSL certifikater, uden verificering af dine
persondata).

--
Med venlig hilsen / Best regards
Allan Willems Joergensen

"WE'd be going back to a time when you were only two years old." Paris

Chano Andersen (14-11-2010)
Kommentar
Fra : Chano Andersen


Dato : 14-11-10 01:05

Den 13-11-2010 12:10, Allan Willems Joergensen skrev:
> alternativt er StartSSL.com gratis for det de kalder level 1
> certifikater (SSL certifikater, uden verificering af dine
> persondata).

Smart, og det er kendt af browserene også. Gør jo unægteligt SSL lidt
mere brugbart og enkelt, selv for en hobby server. :)

- Chano Andersen

Søg
Reklame
Statistik
Spørgsmål : 177577
Tips : 31968
Nyheder : 719565
Indlæg : 6409071
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste