Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 65, views: 26.713 •

Mozilla heeft geen plannen om de omstreden Firesheep-add-on voor Firefox onschadelijk te maken door de extensie aan een zwarte lijst toe te voegen. Met Firesheep kunnen sessie-cookies op onbeveiligde wifi-netwerken gekaapt worden.

De Firesheep-extensie is kort na zijn introductie bijna 320.000 maal binnengehaald. Met de addon wil ontwikkelaar Eric Butler aantonen dat het stelen van sessie-cookies van bijvoorbeeld Facebook-gebruikers op onversleutelde draadloze netwerken kinderspel is. Butler hoopt dan ook dat zijn 'hacktool' websites er toe zal aanzetten om https voor alle sessies te implementeren en standaard aan te bieden.

Mozilla stelt tegenover Computerworld dat het geen plannen heeft om de omstreden plugin op de zwarte lijst van Firefox te zetten. Via deze 'kill-switch' kunnen extensies op afstand uitgeschakeld worden. Mozilla plaatste deze zomer onder andere een add-on die wachtwoorden stal op de zwarte lijst.

Volgens Mozilla-directeur Mike Beltzner legt Firesheep juist een oud probleem van veel websites bloot en valt het niet een kwetsbaarheid in Firefox zelf aan. Beltzner stelt verder dat Firesheep geen door Mozilla goedgekeurde add-on is en ook niet op de Add-on Center-website van Mozilla is te vinden.

Om zich te wapenen tegen het stelen van sessie-cookies, raadt Beltzner gebruikers aan om de Force-TLS-extensie te installeren. Hierbij verzoekt de webbrowser een site om alle informatie via het https- of hsts-protocol te versleutelen. Een alternatief is het minder uitgebreide HTTPS-Everywhere. In Firefox 4.0, waarvan de release donderdag nog werd uitgesteld, zal het hsts-protocol standaard ondersteund worden.

Reacties (65)

Voor Chrome zijn er ook plugins om, als de website het ondersteunt, HTTPS te gebruiken ipv HTTP.
In dat licht vind ik het uitbrengen van die FireSheep best wel goed. Hoe zou je anders bedrijven/websites kunnen aansporen om meer HTTPS te gaan gebruiken? Misschien dat er nu ook meer gebruikers op gaan beginnen letten?
Zoals tweakers.net? Want volgens mij kun je middels FireSheep ook deze site's beveiliging 'omzeilen'.

Zie ook deze podcast met Leo Laporte en Steve Gibson (je weet wel die van Spinrite en DNSbechmark) over FireSheep: http://twit.tv/sn (aflevering 272)

edit: ik zeg inderdaad 'omzeilen' (met aanhalingstekens) omdat het niet echt omzeilen is maar de cookie onderscheppen en daarmee jezelf voordoen als degene die ingelogd is.
De cookie die Tweakers.net gebruikt kun je WEL onderscheppen, je login gaat via SSL wordt 'versleuteld' maar de cookie mag via 'Any type of connection' opgevraagd/heen en weer gezonden worden.
Het is dus WEL om websites die onveilig zijn omdat ze deze cookie niet instellen om ALLEEN via SSL verzonden te mogen worden. (vergelijk o.a. PayPal cookies met die van t.net)

Tevens kun je koffiehuizen / Mac / etc met gratis internet WEL beveiligen maar dan zul je wel WPA moeten gebruiken met een algemene WPA code die je ergens bekend maakt op een groot bord oid.
WPA gebruikt namelijk een z.g.n. session-key om verbindingen per aangesloten apparaat te scheiden, hierdoor zit je dus niet allemaal op dezelfde verbinding maar heeft iedere gebruiker nog een eigen 'persoonlijke' sleutel en blijft het verkeer dus gescheiden.

[Reactie gewijzigd door hellbringer op 28 oktober 2010 16:57]

Zoals tweakers.net? Want volgens mij kun je middels FireSheep ook deze site's beveiliging 'omzeilen'.
Tweakers.net is zelf kwetsbaar AFAIK... :(
Nee, met FireSheep kun je geen SSL verkeer onderscheppen.
[...]

Tweakers.net is zelf kwetsbaar AFAIK... :(
Nee, met FireSheep kun je geen SSL verkeer onderscheppen.
Ik geloof niet dat er tools zijn waarmee je wl SSL-verkeer kan onderscheppen. Dat zou immers het principe van SSL een beetje ondermijnen en dan hadden ze wel iets nieuws verzonnen. ;)
Je kunt SSL verkeer wel degelijk onderscheppen, maar omdat het encrypted is kun je er niet zo snel iets mee.
Precies!

Verder is het ook vaak een probleem dat site's redirecten van http naar https maar voor het redirecten al wel cookies versturen. Cookie secure flag wordt (te) vaak niet aangezet.

A server can specify the secure flag while setting a cookie; the browser will then send it only over a secure channel, such as an SSL connection.
Het gaat hier helemaal niet om onveilige websites.

FireSheep zorgt er voor dat je cookies e.d. kunt stelen op onbeveiligde draadloze netwerken. That's it. Big deal, dat kon al jaren.

HTTPS gebruike op websites is dan een oplossing. Of gewoon je WLAN is goed instellen. (Sowieso is het aantal onbeveiligde draadloze netwerken de laatste tijd al aanzienlijk gedaald).

Bedraad is er weinig aan de hand, een session hijack op deze manier is dan veel moeilijker. Tuurlijk is het nog veilger met HTTPS. Maar de hele heisa om deze plug-in is een beetje overdreven.
Veel koffie huizen die gratis internet aanbieden gebruiken onbeveiligde netwerken. Het is vooral die zwakte die FireSheep will tonen. Als je van die netwerken gebruik maakt, loop je wel risico zonder maatregelen. WLAN instellen is dan geen optie.
"Volgens Mozilla-directeur Mike Beltzner legt Firesheep juist een oud probleem van veel websites bloot en valt het niet een kwetsbaarheid in Firefox zelf aan. Beltzner stelt verder dat Firesheep geen door Mozilla goedgekeurde add-on is en ook niet op de Add-on Center-website van Mozilla is te vinden"
Alleen vervelend voor Mozilla dat het schaap aan hun naam is gekoppeld. Niet al te goeie media aandacht lijkt me...
Een typisch geval van don't shoot the mesenger
Voor Chrome zijn er ook plugins om, als de website het ondersteunt, HTTPS te gebruiken ipv HTTP.
Het probleem van 'beveiliging' begint dan ook steeds minder een gebruikersprobleem te worden en meer een probleem aan de kant van de aanbieders. Genoeg browsers die nu al standaard HTTPS-sessies opbouwen en de gebruiker waarschuwen als er op HTTP moet worden teruggevallen.

Als websites geen HTTPS aanbieden, dan kan een gebruiker er ook weinig aan doen. Die wil immers alleen zijn favoriete Facebook-pagina kunnen blijven zien, en zich geen zorgen hoeven maken om alle technische voodoo die erachter zit.
Een certificaat is niet goedkoop en gevoelig voor misbruik. Het is meer dan alleen een variabel op 1 te zetten op de servers. Er komen bij certificaten danook veel werk, tijd en voornamelijk geld bij kijken. Voor een website zoals tweakers.net is dat geen enkel probleem. Maar voor een kleine community is dat gewoon onmogelijk, ondanks dat die ook gevoelig zijn.

En dan heb ik het nog niet eens over de kostprijs voor zo een community, maar ook de infrastructuur, want niet vergeten dat zo een certificaat maar aan n ip word gelinkt en dat lukt dus al niet onder shared hosting.
€36 op Godaddy.com enz. Perfecte SSL verbinding met uniek IP. Configuratie: 0,00. En je hebt steeds kortingscodes zodat je eigenlijk maar $20 hoeft te betalen.
configuratie 0,00? Meestal moet je toch wel een paar dingen instellen op de webserver...
Verder kan je met een standaard certificaat ook maar 1 SSL domein hosten op dat IP adres.
nog goedkoper: startssl

helemaal GRATIS... basis klasse 1 certificaat, ik gebruik 't voor mijn site nu al 2 jaar en 't werkt uitstekend!
Meerdere ip's aan een sharedhosting account koppelen is mogelijk, dus daarna een SSL certificaat installeren is ook mogelijk. (deze setup beheer ik momenteel 2 jaar met volledige tevredenheid) :)
Ja maar dan moet je dus wel meerdere ip's hebben. En die kosten geld (voor grote websites is dat geen argument, voor kleine sites wel)
In principe geldt dat niet meer, dat je maar 1 certificaat per IP-adres kunt gebruiken. Via de `server_name' extensie in SSLv3(?)/TLS kan een client de gebruikte hostname doorgeven aan de site tijdens het opbouwen van de TLS-verbinding. De webserver kan dan dus al het bijbehorende certificaat aanbieden. Een beetje moderne browser met moderne SSL-libraries en moderne webservers ondersteunen dit :)
Terecht. Het is alleen maar goed dat onveilige websites hierdoor aan de kaak gesteld worden. Tenslotte zijn zij het die het hun eigen kwetsbaarheid moeten oplossen, niet Mozilla.
Goeie actie, toch een beetje dwang naar de websites om het veilig te maken voor gebruikers!
Lijkt me logisch dat alleen extensies die schade aan de computer kunnen aanbrengen geweerd worden.
Maar dat is dus niet zo:
Volgens Mozilla-directeur Mike Beltzner legt Firesheep juist een oud probleem van veel websites bloot en valt het niet een kwetsbaarheid in Firefox zelf aan.
Blijkbaar worden alleen extensies die een kwetsbaarheid in Firefox zelf blootleggen geweerd. Het gaat dus eerder om het beschermen van het imago van Firefox dan om het beschermen van de veiligheid van Mozilla's gebruikers.
Deze extensie tast de veiligheid van Firefox gebruikers niet aan!
Nee, de veiligheid van mozilla's gebruikers komt niet in het geding door deze extensie...
De session-cookies die je hiermee kan onderscheppen kan je immers ook uit IE halen oid.
Het gaat erom dat je hiermee dingen van derden kan bekijken die de beveiliging van je browser an sich niet benvloed.
Dat je session cookies zomaar te lezen zijn, omdat je op een niet-beveiligd netwerk zit is je eigen verantwoordelijkheid.

Die sites hoeven niet eens pers encrypted te worden, alle wifi netwerken moeten beveiligd worden :P
De session-cookies die je hiermee kan onderscheppen kan je immers ook uit IE halen oid.
Klopt, k uit IE. En dus k uit Firefox. Waarmee de veiligheid van die Firefox-gebruikers dus in gevaar komt.

Waar hier de schuld ligt, bij de websites, bij de eigenaren van Wifi-netwerken of bij wie dan ook zal me een zorg zijn. Waar ik me aan stoor is de redenatie van Mozilla dat de veiligheid van gebruikers schijnbaar alleen beschermd dient te worden als het een lek in Firefox blootlegt.
Afgezien van het feit dat je zonder extensie niet zomaar session-cookies met IE van het netwerk kan plukken maar dat je daar een netwerksniffer voor nodig hebt zoals etherreal, deze extensie heeft dat dus ingebouwd, blijkbaar vinden mensen dat handig.
Het enige probleem van deze extensie is dat er illegale dingen mee gedaan kunnen worden, maar zoals gezegd is dat ook met normale sniffers het geval, dit is simpelweg de intergratie van een sniffer in een browser.
Als Mozilla deze extensie zou verbieden geven ze het signaal af "wij lossen het probleem niet op maar vegen het onder de mat" de verantwoordelijkheid ligt simpelweg geheel bij de websites.
Omdat jij je voordeur open laat staan, of dat nou bedoeld of onbedoeld is, moet de woningbouwvereniging/gemeente/overheid het mensen onmogelijk maken je huis binnen te gaan? Nee dat is logisch...

Het is zaak voor Mozilla dat zij HUN gebruikers beschermen bij het gebruik van hun software. En dat doen ze schijnbaar. Prima toch?

[Reactie gewijzigd door Inny op 28 oktober 2010 15:59]

Je kan t ook zien alsof de woningbouwvereniging naast je flat een cafe opent voor de inbrekersclub.

(aka, real-world analogieen zijn niet altijd even zinvol)
Het gaat om het beschermen van de integriteit van Firefox als browser. Wat je er verder mee doet is je eigen zaak en verantwoordelijkheid. Zo hoort het.
Over HTTPS gesproken: Ik kreeg laatst in Chrome, op de site van gmail zelf, die altijd op HTTPS werkt een rood slotje met de beschrijving dat niet alles beveiligd was. Heeft iemand enig idee waarom niet? Was google's beveiligde verbinding gewoon even verstrooid?
Nu is wel weer steeds groen en is het gewoon beveiligd via HTTPS.
Ik vraag me dan ook af of het google's schuld was of mischien malware op de pc?
De meest voorkomende reden van een "breach" is het gebruik van onbeveiligde content (dus een afbeelding vanaf een HTTP omgeving op een HTTPS omgeving).

Het kan zijn dat er ergens op gmail een afbeelding of iframe niet goed stond en per ongeluk van een HTTP variant werd gehaald. Niets om je zorgen over te maken (in de meeste gevallen dan).
Ah, dat zou goed mogelijk zijn - als mijn geheugen me bijstaat was ik toen ook aan het kijken naar hele oude emails die geimporteerd waren van mijn vroegere hotmail account.
Bedank voor de reactie :)
Het kan zijn dat er ergens op gmail een afbeelding of iframe niet goed stond en per ongeluk van een HTTP variant werd gehaald. Niets om je zorgen over te maken (in de meeste gevallen dan).
In de meeste situaties gaat het dan om banners of andere vormen van reclame. Voor een reclamebureau is het namelijk nogal veel moeite om al hun advertenties achter een HTTPS-lijn te gaan zetten. :)
Waarschijnlijk opende je een email met plaatjes. Die plaatjes komen niet van een HTTPS site af, waardoor je niet volledige site protected is.
Ligt het aan mij of is Firefox de laatste maanden zeer nonchalant geworden in hun product te ontwikkelen? Ikzelf gebruikte deze dagelijks voor de ontwikkeling van websites, maar ondertussen ben ik overgeschakeld naar Chrome, welke vele malen sneller is, minder crashed en daarbij ook niet aan talloze memory-leaks sterft terwijl je aan het surfen bent.
Firefox is al lang voor mij niet meer de standaard in mijn ontwikkelingstools...
ik vind dit topic echter niet erg relevant tov je opmerking. dit is gewoon een keuze, en imho een goede, want blacklisten zou in dit geval op symptoombestrijding en 'security through obscurity' neerkomen.
Chrome, welke vele malen sneller is, minder crashed en daarbij ook niet aan talloze memory-leaks sterft terwijl je aan het surfen bent.
Ik kan me echt niet meer herinneren wanneer ik voor het laatsts een crash met FF heb gehad. In het 2.5.x tijdperk was het soms wel irritant, bij 3.0.x is het wel eens voorgekomen (memory leaks ook), maar 3.6.x is stabiel en heeft geen merkbare memoryleaks bij mij.
Ik vind het wel goed dat het niet wordt geblokt.
Wat ik alleen beetje jammer vind is dat als ik bijvoorbeeld https://www.facebook.com invul ik netjes via https verbinding maak. Zodra ik dan ben ingelogd en klik op het facebook logo om bijvoorbeeld van een profiel naar de status overzicht lijst te gaan is het ineens geen https meer. Het groene slotje in Chrome is dan weer weg. Ik neem dus aan (verbeter me als het onjuist is) dat ik daarna dus niet meer over https ga maar weer gewoon over http :(.
Ik begrijp al dat gedoe om Firesheep niet.

Midden jaren 90 deden we dit al met ettercap en andere tools.
Het probleem is niet wat firesheep doet, maar de wijze waarop. Iedereen kan op deze wijze zonder enige kennis accounts bij elkaar harken. Even een kopje koffie drinken op het leidseplein en je hebt meer accounts dan je in een dag kunt bekijken.
Geen kennis nodig, gewoon wachten totdat ze netjes gesorteerd verschijnen. Dat maakt de drempel wel erg laag!
Het probleem is niet wat firesheep doet, maar de wijze waarop. Iedereen kan op deze wijze zonder enige kennis accounts bij elkaar harken. Even een kopje koffie drinken op het leidseplein en je hebt meer accounts dan je in een dag kunt bekijken.
Geen kennis nodig, gewoon wachten totdat ze netjes gesorteerd verschijnen. Dat maakt de drempel wel erg laag!
Hadden we dat probleem niet 5 jaar geleden ook met Network Stumbler en Aircrack-NG voor het wardriven en kraken van WiFi-netwerken? De-CSS voor het decrypten van DVD- en Blu-Ray schijven?

Het feit dat er een tool bestaat die op een toegankelijke manier een beveiliging ondermijnt moet geen reden zijn om het hele lek maar onder tafel te schuiven door de tool te blokkeren/verbieden.
Maar ook geen excuus om het die tools maar makkelijk te maken.
waarom niet? zo blijft het daadwerkelijke probleem tenminste onder de aandacht!

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013