В сервисах Веб 2.0 хакеры нашли «фундаментальную уязвимость»

    На хакерской конференции Black Hat в этом году было много интересных докладов и презентаций. Например, один из докладов был посвящён перехвату личных данных, которые передаются по беспроводной сети WiFi. Взлом основан на считывании cookies, так что этой уязвимости подвержены любые современные веб-сервисы, включая почтовые службы Gmail и Yahoo Mail.

    Роб Грэм, исполнительный директор хакерской компании Errata Security лично продемонстрировал, как работает сниффер. Он функционирует следующим образом: анализируя трафик, программа вычисляет «кукисы», которые используются для авторизации сессий. Копируя их на свой компьютер, злоумышленник получает возможность зайти на тот или иной веб-сайт от имени жертвы.

    Копирование файлов cookies, фактически, приравнивается к копированию чужой личности, поскольку современные сервисы Веб 2.0 исключительно по «кукисам» осуществляют авторизацию пользователей после того, как те залогинились на сайте. «Это фундаментальная уязвимость в сервисах Веб 2.0», — говорит Роб Грэм.

    Конечно, вламываясь в чужой почтовый ящик, хакер не может узнать пароль от этого ящика, но он получает доступ ко всему архиву писем, личным закладкам, календарю и другим приватным данным. Наверняка, среди этой информации можно найти и пароли к другим сервисам, и иную полезную хакеру информацию.

    Веб-сервисы, которые осуществляют авторизацию через cookies, генерируют для каждого пользователя уникальный числовой идентификатор. Так вот, в некоторых случаях этот ID остаётся неизменным в течение бесконечного времени, так же как и cookies имеют неограниченный срок давности. Это значит, что хакеры могут получать доступ к аккаунты в течение многих лет, даже если пользователь неоднократно менял пароль.

    Воруя «кукисы», хакер может взломать аккаунт даже в том случае, если авторизация пользователя осуществлялась по защищённому протоколу SSL. Гарантировать безопасность юзера можно только в том случае, если весь сеанс связи целиком защищён этим протоколом, так что сниффер не может определить cookies в зашифрованном потоке информации. Некоторые веб-сервисы допускают такую возможность.
    Поддержать автора
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 20

      +2
      не очень ясно причем тут опять-же web 2.0, всегда были сервисы которые авторизовали пользователя по кукам (mail и т.д., при этом во многих из них есть функция - "запоминать меня", или "запоминать меня на N дней" которая по умолчанию отключена - это к вопросу о хранении ID в течении бесконечного времени). Сервисы которые заботятся о безопасности (к примеру тот-же хабр) привязывают этот id к ip пользователя.

      Короче совершенно неясно причем тут именно сервисы web.2.0
        0
        наверное, при том, что на сервисах web 1.0 уже мало кто сидит. ;)
          0
          почта от mail.ru считается сервисом web1.0 ? ;)
            0
            а разве она не web 2.0? мне кажется вы не поняли мой коммент.
              0
              возможно не понял. но до сих пор не могу понять что в почте mail.ru web2.0-ного
        0
        Это получается уязвимость WiFi, а не Web 2.0 или я чего-то не понимаю?
          0
          Кстати в статье не уточняется был ли зашифрован канал WiFi. Потому как если не был — то это не "фундаментальная уязвимость", а детский сад.
            0
            упор в статье в основном почему-то делается именно на метод авторизации сервисов. Но что нового в эту область принес web2.0 совершенно неясно
          • НЛО прилетело и опубликовало эту надпись здесь
            0
            >If you access those services using public Wi-Fi
            Здесь скорее виноват протокол WI-FI а не web-2.0.
            Разработчики постоянно изобретая мега девайсы забывают о безопасности. А 802 как был дырявым так наверняка еще долгое время им останется
            • НЛО прилетело и опубликовало эту надпись здесь
              +3
              Дваноль прикрутили сюда за уши и откровенно через задницу. Вообще гакеры травмируют мой моск - это вспоминая историю про сольницу в столовой.
                +2
                Прием, использованный при формулировке темы топика, называется "Демагогия" - т.е. расстановка заведомо ложных акцентов при подаче информации для достижения тех или иных интересов.
                Вроде бы, все сказанное - правда, да не совсем.
                Упомянули ВайФай чуток... и давай про ненадежность кук разглагольствовать...
                Будто куки из 2.0 чем-то принципиально отличаются от всех остальных...
                Да нет - те же куки... только в профиль.
                  0
                  Хм, я в вопросах безопасности не очень разбираюсь, но, насколько я понял описание уязвимости, она не будет работать, если используются одноразовые сессии, то есть при каждом заходе на страницу сайта пользователю назначается новая кука с новым ID, а именно так и делается на большинстве серьёзных сайтов...
                    0
                    что значит "при каждом заходе на страницу сайта" ? наверно имеется ввиду каждый новый заход после закрытия браузера, или-же истечения времени действия куки ?
                    а то если выдавать id "при каждом заходе на страницу сайта" смысл этого id совершенно теряется.
                      0
                      При одноразовых сессиях в куках нет необходимости вообще
                      0
                      Объясняю как все это связано.
                      Web 2.0 подразумевает использование AJAX.
                      И в большинстве его реализаций данные посылаются не через защищенное соединение (SSL) и по этому их относительно просто перехватить.

                      WiFi здесь приведен как пример одной из опять-таки слабо-защищенный сетей, в которой злоумышленник может перехватить данные пользователя (сниффером), а тк они не защищены (читать выше), то и получить доступ к конфиденциальной информации на сервере.
                        0
                        А вы представляете себе, хотябы примерно, соотношение систем, авторизующих пользователя по HTTPS и всех остальных?
                        Эта проблема общая и Web2.0, Ajax - лишь частности...
                        0
                        А если он получит кукисы от вашего OpenID сервера... Меняйте фамилию, пол и место жительства. :)
                        Как говорят у нас в народе - волков бояться в лес не ходить, пароли на ящик высылаются уже давно и я сам ломал один форум взломав ящик админа и попросив туда пароль с форума.
                          0
                          Целесообразность воровства cookies, тем или иным способом, падает практически до 0 при использовании session_regenerate_id() при каждом запросе на сайт.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое