Re: hvorfor er Facebook ikke krypteret ?
Axel Hammerschmidt
Top post (s� man nemt kan springe den over, hvis det ikke har nogen
interesse):
Egentlig burde det osse v�re sent til dk.edb.programmering.java. Men der
er ikke meget liv i den gruppe.
Og grunden er som sagt, at jeg har et indl�g p� V2 om det forneden her:
<http://www.version2.dk/artikel/16871-efter-firesheep-facebook-og-twitte
r-scorer-dumpekarakter-paa-sikkerhed>
Kort link:
Axel Hammerschmidt <hl...@hotmail.com> wrote:
> Tommy <fjern_t...@stofanet.dk> wrote:
>
> <snip>
>
> > Jeg ledte efter Firesheep p� Mozillas side over tilf�jelser, men kunne
> > kun finde et skin d�r med samme navn. Jeg antager at du har hentet den
> > hos Codebutler, eller har jeg ikke ledt grundigt nok?
>
> Firesheep er ikke kommet til Linux endnu, sidst jeg s� efter. Jeg kan se
> du benytter Linux. Den findes kun til Mac OS X 10.4 eller nyere og s�
> Winslows. Firesheep kr�ver Firefox 3.6 eller nyere.
>
> Hvis man ikke gider om-konfigurere sin AP s� kan jeg oplyse, at det osse
> virker over kabel med en hub. Man �ndre s� "Interface" til Ethernet
> under Preferences - i OS X forst�s.
>
> Jeg er ikke nogen �rn til Java prgrammering, men lige nu pr�ver jeg at
> tilf�je login Version2 til de tjenester, der kan sniffes.
>
> Det g�r jeg dels ved at kigge p� source ved login, dels ved at
> sammenligne med nogle af dem der kommer med Firesheep.
>
> Er der evt nogen her, der er villig til at kode den til V2?
>
> Template i Firesheep ser s�dan her ud:
>
> register({
> name: "Version2",
> domains: [ /* FIXME */ ],
> sessionCookieNames: [ /* FIXME */ ],
> identifyUser: function () {
> /* FIXME */
> }
> });
>
> Den kommer frem n�r man tilf�jer en ny site.
>
> Den til bit.ly ser til sammenligning s�dan her ud:
>
> // Authors:
> // Ian Gallagher <e-m...@ddress.removed>
> register({
> name: 'bit.ly',
> url: 'http://bit.ly/',
> domains: [ 'bit.ly' ],
> sessionCookieNames: [ 'user' ],
>
> identifyUser: function() {
> var resp = this.httpGet(this.siteUrl);
> this.userName = resp.body.querySelectorAll("#loginContainer
> a")[0].textContent;
> }
> });
>
> Men nogle af de andre er ret komplicerde, bl.a den til Hotmail.
--
Ikke ham p� Facebook.
Axel Hammerschmidt
<snip>
X-post: dk.edb.sikkerhed og dk.edb.programmering.java
Jeg prøver med den her:
// Authors:
// Axel Hammerschmidt <e-m...@ddress.removed>
register({
name: "Version2",
url: 'http://version2.dk',
domains: [ 'version2.dk' ],
sessionCookieNames: [
'_utmb',
'_utmc',
'_utma',
'_utmz',
'PHPSESSID
],
identifyUser: function () {
//var resp = this.httpGet(this.siteUrl);
//this.userName =
var resp = this.httpGet(this.siteUrl);
this.userName = "Bente, or perhaps Axel";
}
});
Men når jeg lukker vinduet kommer denne fejlmeddelse:
: [JavaScript Application]
:
: Script Error: SyntaxError: unterminated string literal
Hvad er der galt?
--
Ikke ham på Facebook.
Axel Hammerschmidt
> Axel Hammerschmidt <hl...@hotmail.com> wrote:
>
> <snip>
>
> X-post: dk.edb.sikkerhed og dk.edb.programmering.java
>
> Jeg prøver med den her:
>
> // Authors:
> // Axel Hammerschmidt <e-m...@ddress.removed>
> register({
> name: "Version2",
> url: 'http://version2.dk',
> domains: [ 'version2.dk' ],
> sessionCookieNames: [
> '_utmb',
> '_utmc',
> '_utma',
> '_utmz',
> 'PHPSESSID
> ],
Der manglede et "'" efter PHPSESSID.
Det er sgu' ikke nemt at være script kiddie :)
> identifyUser: function () {
> //var resp = this.httpGet(this.siteUrl);
> //this.userName =
> var resp = this.httpGet(this.siteUrl);
> this.userName = "Bente, or perhaps Axel";
> }
> });
Her skal blocken:
//this.userName =
var resp = this.httpGet(this.siteUrl);
være på een og samme linie, sådan:
//this.userName = var resp = this.httpGet(this.siteUrl);
Det har jeg osse rettet for V2.
Det undre mig med det dobbelt-slash først i linien. Er det ikke et
comment tegn?
Men der kommer stadig ikke noget frem i Firesheep sidepanelet i Firefox
som man skal kunne klikke på for at overtage sessionen.
Jeg tror der er flere fejl i "identifyUser" blokken.
Nogle eksempler, der virker.
Det kunne være (som i Hotmail, aka Windows Live):
identifyUser: function () {
//var resp = this.httpGet(this.siteUrl);
//this.userName =
resp.body.querySelector("#idWinLiveIdValue").textContent.trim();
this.userName = "Alice, or perhaps Bob";
}
(Huskat fra "//this.userName" og til ".trim();" er på een og samme
linie)
Det er den jeg har hentet "inspiration" fra.
I sidepanelet kommer der så et link benævnt:
: Alice, or perhaps Bob
: Wndows Live.
Eller, et andet login som jeg har hvor der osse ligger et script som
virker i Firesheep:
New York Times:
identifyUser: function() {
var resp = this.httpGet(this.siteUrl);
this.userName = resp.body.querySelectorAll("#memberTools
a")[1].innerHTML;
}
(Fra "this.userName" og til ".innerHTML;" står på een og samme linie)
Der kommer der i sidepanelet:
: mit brugernavn
: New York Times
Der er osse en for mig mystisk forskel på Windows Live og New York Times
script'ene, idet der ikke er dobbelt-slash'ene i "identifyUser" blokken
for sidstnævnte. Men de virker begge to upåklageligt.
Kent Friis
> Axel Hammerschmidt <hl...@hotmail.com> wrote:
>
>> Axel Hammerschmidt <hl...@hotmail.com> wrote:
>>
>> <snip>
>
>
> Det er sgu' ikke nemt at være script kiddie :)
>
>> identifyUser: function () {
>> //var resp = this.httpGet(this.siteUrl);
>> //this.userName =
>> var resp = this.httpGet(this.siteUrl);
>> this.userName = "Bente, or perhaps Axel";
>> }
>> });
>
> Her skal blocken:
>
> //this.userName =
> var resp = this.httpGet(this.siteUrl);
>
> være på een og samme linie, sådan:
>
> //this.userName = var resp = this.httpGet(this.siteUrl);
>
> Det har jeg osse rettet for V2.
>
> Det undre mig med det dobbelt-slash først i linien. Er det ikke et
> comment tegn?
Jo.
Mvh
Kent
--
"The Brothers are History"
Axel Hammerschmidt
> Axel Hammerschmidt <hl...@hotmail.com> wrote:
>
>> Axel Hammerschmidt <hl...@hotmail.com> wrote:
>>
>> <snip>
>>
>> X-post: dk.edb.sikkerhed og dk.edb.programmering.java
>>
>> Jeg pr�ver med den her:
>>
>> // Authors:
>> // Axel Hammerschmidt <e-m...@ddress.removed>
>> register({
>> name: "Version2",
>> url: 'http://version2.dk',
>> domains: [ 'version2.dk' ],
>> sessionCookieNames: [
>> '_utmb',
>> '_utmc',
>> '_utma',
>> '_utmz',
>> 'PHPSESSID
>> ],
>
> Der manglede et "'" efter PHPSESSID.
Tegnet er som sagt tilf�jet.
Nu har jeg unders�gt med Ethereal. S�dan her s�tter V2 Cookies n�r man
logger ind:
: Cookie:
: __utma=xxxxxxxxx.yyyyyyyyyy.zzzzzzzzzz.aaaaaaaaaa.bbbbbbbbbb.c;
: __utmb=xxxxxxxxx.y.zz.aaaaaaaaaa; __utmc=bbbbbbbbbb;
: __utmz=xxxxxxxxx.yyyyyyyyyy.z.a.utmcsr=google|utmccn=(organic)|
: utmcmd=organic|utmctr=Firesheep; PHPSESSID=0ezzzzzzz
Jeg har erstattet cookiev�rdierne med x, y osv. Det hele skal p� een
linie. De lodrette streger er UNIX Pipes.
Man bem�rker jo cookie "_utmz" med "|utmcctr=Firesheep;" til sidst.
--
Oops! I did it again.
Axel Hammerschmidt
Axel Hammerschmidt
> Axel Hammerschmidt <hl...@hotmail.com> wrote:
>
> > utmctr=Firesheep
>
> Og intet p� Google
Men mange med utmcsr=google.
Chano Andersen
> Nu har jeg unders�gt med Ethereal. S�dan her s�tter V2 Cookies n�r man
> logger ind:
S� er det da tid til at opgradere til Wireshark. ;)
>
> : Cookie:
> : __utma=xxxxxxxxx.yyyyyyyyyy.zzzzzzzzzz.aaaaaaaaaa.bbbbbbbbbb.c;
> : __utmb=xxxxxxxxx.y.zz.aaaaaaaaaa; __utmc=bbbbbbbbbb;
> : __utmz=xxxxxxxxx.yyyyyyyyyy.z.a.utmcsr=google|utmccn=(organic)|
> : utmcmd=organic|utmctr=Firesheep; PHPSESSID=0ezzzzzzz
>
> Jeg har erstattet cookiev�rdierne med x, y osv. Det hele skal p� een
> linie. De lodrette streger er UNIX Pipes.
Ud over PHPSESSID til sidst, s� ligner det hele bare noget google cookie
snask, som bruges af google analytics.
- Chano Andersen
Axel Hammerschmidt
Ja, men hvad med "utmctr=Firesheep"?
Firesheep er kun godt en uge gammel (fra den 25. oktober) og det har
v�ret diskuteret en del, hvad den an komme til at betyde for Fj�sbog,
Twit, Google osv p� �bne tr�dl�se netv�rk.
Har Google mon fundet en fix?
Og er det den der forhindre, at jeg kan snuppe min egen Version2 session
med Firesheep?
Det er de eneste Cookies fra V2 der bliver sat.
Axel Hammerschmidt
> Den 09-11-2010 18:52, Axel Hammerschmidt skrev:
> > Nu har jeg undersøgt med Ethereal. Sådan her sætter V2 Cookies når man
> > logger ind:
>
> Så er det da tid til at opgradere til Wireshark. ;)
Har lige hentet Wireshark 1.4.2 til Mac OS X.
Ethereal 0.99 på W2K var skam et fin release. Den har jeg haft meget
fornøjelse med :-)
Chano Andersen
> Ja, men hvad med "utmctr=Firesheep"?
>
Jeg vil tro, at det er en Firesheep selv har indsat. Som extension kan
man pille ved alting.
> Har Google mon fundet en fix?
Næppe noget ud over SSL, som alle Google services understøtter.
> Og er det den der forhindre, at jeg kan snuppe min egen Version2 session
> med Firesheep?
Det kan en cookie ikke gøre. Men PHPSESSID er PHP's session cookie, en
PHP session ligger på serveren, og hverken du eller FireSheep ved hvad
den indeholder. Det ved kun serveren. Derfor kan det sagtens tænkes, at
man har lavet numre med indholdet, og på den måde sikret at det ikke kan
opsnappes. En anden mulighed er, at de kører login via SSL.
- Chano Andersen
Arne Vajhøj
> X-post: dk.edb.sikkerhed og dk.edb.programmering.java
>
> interesse):
>
> Egentlig burde det osse være sent til dk.edb.programmering.java. Men der
> er ikke meget liv i den gruppe.
>
>
> <http://www.version2.dk/artikel/16871-efter-firesheep-facebook-og-twitte
> r-scorer-dumpekarakter-paa-sikkerhed>
>
> Kort link:
>
> http://tinyurl.com/24ke5v9
Du har sendt til dk.edb.programmering.java, hvilket undrer mig
da jeg ikke kan se noget Java relevant i den tråd.
Arne