Backup & Security / Firefox & Thunderbird / Internet / Social Network

Twitter & Facebook und unverschlüsselte Seiten: Accounts übernehmen für Doofe mit Firesheep

Avatar-Fotovon | 37 Kommentare

Wer in offenen WLANs unterwegs ist, der weiss sicherlich, worauf er sich einlässt. Ist die Verbindung zu verschiedenen Seiten nicht verschlüsselt, so kann ein Lauscher mit geringem Wissen unter Umständen so einiges an Traffic mitschneiden und diesen auswerten. Twitter und Facebook arbeiten zum Beispiel momentan unverschlüsselt. Jetzt wird es neugierigen Personen ganz einfach gemacht, eure Accounts zu kapern. Dabei wird das offene WLAN gescannt und eure Cookies übernommen.

Damit auch der letzte Klappspaten das hinbekommt, gibt es eine Firefox-Erweiterung namens Firesheep. Starten, Cookies suchen und abgreifen. Funktioniert scheinbar wirklich so einfach wie erklärt. Unglaublich, oder?

Hier noch einmal mein Screenshot der Einstellungen:

Die Wirkweise ist schnell erklärt: bei unverschlüsselten Verbindungen übertragt ihr die Kombination Benutzername / Passwort im Klartext. Der Server überprüft dieses und sendet euch ein Cookie. Lest euch bei technischen Interesse ruhig einmal die Infos auf der Firesheep-Seite durch. Bin mal gespannt wir lange es dauert, bis die Erweiterung verschwindet – oder bis Seitenbetreiber die Verschlüsselung aktivieren. Also: aufgepasst in offenen Drahtlosnetzwerken!

Nachtrag: SO schützt ihr euch davor!


(via techcrunch)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

37 Kommentare

  1. cokkii says:
    25. Oktober 2010 um 13:47 Uhr

    Mir egal, da ich sowieso kein Facebook und anderen Kackkram wie diese verdammten Social Network NICHT benutze. Facebook und Co. gehört VERBOTEN!

  2. Adam says:
    25. Oktober 2010 um 14:28 Uhr

    Man kann sich verschlüsselt einloggen, wenn man das „s“ in der URL ergänzt oder das von dir schon mal erwähnte Add-on, das bei vielen Seiten die verschlüsselte URL aufruft, nutzt, aber das ist auch nicht ganz optimal, da nach dem Einloggen eh alle weiteren Seiten unverschlüsselt übertragen werden. Das ist echt ein wunder, dass da anscheinend keiner was dagegen hat.

    Mich wundert eh nichts mehr, wenn Unternehmen behaupten, dass die dich anschreiben dürfen, obwohl du weder deine Adresse angabst noch Werbung zugestimmt hast. Das soll angeblich nicht gegen unser Datenschutzgesetz verstoßen. Und die denken noch ernsthaft, dass man dann noch was kauft. Die brute force method funktioniert bei Menschen leider kaum. 😉

  3. Rainer Friedrich says:
    25. Oktober 2010 um 14:32 Uhr

    Ggf. das AddOn ForceTLS installieren: https://addons.mozilla.org/en-US/firefox/addon/12714/

  4. Ani says:
    25. Oktober 2010 um 18:58 Uhr

    Wow. Das so was von FIREFOX „angeboten“ wird . Ehrlich gesagt,hab ich das Prinzip jetzt nicht ganz verstanden…aber andere tun das wohl ;D Man,nirgends is mant sicher.
    Danke!

  5. Dominik says:
    25. Oktober 2010 um 19:10 Uhr

    @alle die mich berichtigt haben: Ja, ihr hattet recht und ich war dumm. Lag vielleicht auch an zu wenig Kaffee so früh Morgens, jedenfalls sehe ich eure Argumente ein und frage mich, was mich heute Morgen geritten hat, nicht soweit zu denken.

    @caschy trotzdem nochmal Danke zum Nachtrag 🙂

  6. caschy says:
    25. Oktober 2010 um 19:13 Uhr

    Mach dir keinen Kopf – du hast wenigstens Eier und stehst zu seinen Aussagen. Andere trauen sich das nicht, eigene Fehler einzugestehen. Daumen hoch.

  7. SemperVideo says:
    26. Oktober 2010 um 17:14 Uhr

    Ich gestatte es mir hier einfach mal auf das Video von SemperVideo zu verweisen, für jeden der es in Aktion sehen möchte ohne es selbst im LAN zu testen:

    http://www.youtube.com/watch?v=7s9gmyjaRio

    Falls Caschy das für zu viel der Eigenwerbung hält, einfach löschen. Grüße.

    Andreas

  8. PROHACKER!!!1!1!1!!!11!1!! says:
    27. Oktober 2010 um 09:29 Uhr

    Habe es mal zum Selbsttest installiert, aber krieg es trotz neuester WinCap version nicht zum laufen.

    Naja, ist ja eh nicht so wichtig >_>

  9. SyntaX says:
    29. Oktober 2010 um 13:23 Uhr

    Ach du grüne neue. So was nennt sich dann wieder Prohacker, aber muss auf die billigsten Kindertools zurückgreifen und kann selbst diese nicht bedienen.

  10. Paul Peter says:
    29. Oktober 2010 um 14:30 Uhr

    „Der neue Firefox 4, dessen Release Mozilla erst in dieser Woche verschoben hatte, soll das HSTS-Protokoll übrigens standardmäßig verlangen.“

    Quelle: http://www.dnews.de/nachrichten/netzwelt/352775/firesheep-mozilla-plant-keinen-kill-switch.html

    womit ein weiterer Schritt zu mehr sicherheit gegeben wird.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.

Umfrage des Monats

Günstig mit Werbung streamen oder Aufpreis zahlen?

View Results

Wird geladen ... Wird geladen ...

Anzeige