FaceNiff 單鍵駭進無線網路中未開啟 HTTPS 設定的Facebook帳戶
- cow - 電腦玩物形象化的來說,就是當我們有一天在某個咖啡店享用著免費無線網路時,很開心的登入自己的Facebook、Twitter帳戶,然後旁邊一個拿著Android手機的人,有可能透過一個叫做FaceNiff的App輕易獲取我們帳戶的控制權,然後隨意發表訊息. 這個真實故事主要是警告我們,在WiFi無線網路環境下有很多安全風險.
FaceNiff 單鍵駭進無線網路中未開啟 HTTPS 設定的Facebook帳戶
标签:
facebook
系統調校與安全freeware
Android
twitter
| 发表时间:2011-06-05 06:48 | 作者:異塵行者 cow
出处:http://playpcesor.blogspot.com/
上面這個影片告訴我們什麼呢?形象化的來說,就是當我們有一天在某個咖啡店享用著免費無線網路時,很開心的登入自己的Facebook、Twitter帳戶,然後旁邊一個拿著Android手機的人,有可能透過一個叫做FaceNiff的App輕易獲取我們帳戶的控制權,然後隨意發表訊息。
這個真實故事主要是警告我們,在WiFi無線網路環境下有很多安全風險。之前已經有一個Firefox的套件叫做「Firesheep」,可以掌控同一個無線網路環境下其它用戶的Facebook、Twitter帳戶。而現在這個叫做「FaceNiff」的Android App更厲害,因為就算無線網路環境已經使用WEP、WPA、WPA2加密,FaceNiff還是可以駭進同一個WiFi環境下正在使用的Facebook、Twitter帳戶。
而唯一的解決方法,就是我們在使用公用無線網路環境時一定要使用加密連線。現在Facebook、Twitter等網站服務都已經內建「強制https加密連線」的功能,一定要記得事先做好設定。
本文的目的不是要推廣什麼軟體,而是要提醒大家使用「HTTPS加密連線」的重要性,所以文中就不附上Firesheep或FaceNiff的連結了。
「WiFi無線網路」對於現代人的行動工作來說可能是非常倚賴的服務,例如各種餐廳、咖啡店、公共場所可能都會提供無線上網功能,但是在使用這類服務的同時,也要注意其安全風險。
例如一個使用FaceNiff的人,他只要跟你登入同一個無線網路中(例如你們都坐在同一個咖啡店裡,甚至他可能只是拿著手機經過餐廳前?),然後你在使用臉書、推特、Amazon、YouTube等服務時沒有使用HTTPS加密連線登入,那麼他就可以輕易「掌控」你的帳戶。
所以重點就是要使用加密連線。下面我就補充一下在Facebook、Twitter中如何強制開啟HTTPS設定。
在Facebook中,到右上方帳號下拉選單裡選擇【帳號設定】。
接著在第一個頁面拉開「帳號安全」設定,並勾選「安全加密瀏覽模式」即可。
而Twitter中,也是到右上方的帳號下拉選單點擊【Settings】。
接著同樣在第一個頁面,勾選最下方的「Always use HTTPS」即可。
大家記得使用社群服務前,最好還是強制使用加密連線,雖然這會讓上網速度變得慢一點點,但安全還是最重要的喔!
相关 [faceniff https facebook] 推荐:
https协议
- - 互联网 - ITeye博客SSL 协议的握手过程 . 为了便于更好的认识和理解 SSL 协议,这里着重介绍 SSL 协议的握手协议. SSL 协议既用到了公钥加密技术(非对称加密)又用到了对称加密技术,SSL对传输内容的加密是采用的对称加密,然后对对称加密的密钥使用公钥进行非对称加密. 这样做的好处是,对称加密技术比公钥加密技术的速度快,可用来加密较大的传输内容,公钥加密技术相对较慢,提供了更好的身份认证技术,可用来加密对称加密过程使用的密钥.
Go和HTTPS
- - Tony Bai近期在构思一个产品,考虑到安全性的原因,可能需要使用到 HTTPS协议以及双向数字证书校验. 之前只是粗浅接触过HTTP( 使用Golang开 发微信系列). 对HTTPS的了解则始于那次 自行搭建ngrok服务,在那个过程中照猫画虎地为服务端生成了一些私钥和证书,虽然结果是好 的:ngrok服务成功搭建起来了,但对HTTPS、数字证书等的基本原理并未求甚解.
Google https被屏蔽
- - 月光博客 根据Google透明度报告 显示,从上周(5月27日)开始,Google的部分服务开始被屏蔽,其中最主要的是HTTPS搜索服务和Google登录服务,所有版本的Google都受到影响,包括Google.hk和Google.com等. 此次屏蔽的方法主要屏蔽Google部分IP地址的443端口,包括google.com.hk,accounts.google.com的部分IP的443端口被封,导致部分中国用户无法访问Google搜索和Gmail,由于Google的IP地址非常多,而被屏蔽的只是其中部分IP,因此只有部分用户受到了影响.
HTTPS的二三事
- - 细语呢喃前几篇博文都是有关HTTPS的东西,有人可能会问,什么是HTTPS. 因此,本文主要来解答这些疑惑. Alice和Bob是情人,他们每周都要写信. Alice 写好后,送到邮局,邮局通过若干个快递员到Bob,Bob回信过程类似. 这是可以看成的简单的http的传输. 有一天,Alice觉得,要是写的信中途被人拆开了呢.
HTTPS劫持研究
- - FreeBuf互联网安全新媒体平台这篇文章描述了我们对哈萨克斯坦政府实施的电信级HTTPS劫持的分析. 哈萨克斯坦政府最近开始使用一个假的根证书颁发机构,对包括Facebook,Twitter和Google等网站在内的HTTPS连接进行中间人(MitM)攻击,在此文中,我们给出了还在进行中的研究的初步结果,以及哈萨克劫持系统中新的技术细节.
手机抓包HTTPS
- -之前也介绍过 Charles 抓包神器,详细可以看这篇文章: 抓包神器. 这个神器主要是解决在开发过程中快速定位异常,到底是界面展示 Bug 还是接口数据异常. 这样借助这个神器,基本上在开发过程中就能解决很多问题了. 学会手机抓包也能解决开发中很多问题,不仅如此,还能解锁去广告、白嫖 VIP 等骚操作.
最新网址 https://72.52.124.208
- chanjw - 电驴下载基地精彩世界 cmule.com 我们传递.
最新网址 https://72.52.124.209
- Asker - 电驴下载基地精彩世界 cmule.com 我们传递.
Google升级HTTPS加密
- 请叫我火矞弟 - Solidot民不拜天又不拜孔子留此膝何为 写道 "Google 修改了启用HTTPS服务的加密方法,以应对未来技术发展后可能造成的解密行为. 这项升级适用于Gmail、Docs和Google+. 现在的HTTPS实现借助于只有域名主人所掌握的私钥生成的session key来加密服务器和客户端之间的流量. 这种方法使得连接可能被所谓“追溯式解密攻击”(retrospective decryption attack)破解.