Firesheep zaštita
[
photo credit: Jesper2cv]
Firesheep, Firefox plugin koji je velik broj korisnika upozorio na sigurnosne propuste u najčešće korištenim web servisima (Facebook, Twitter, Google pretraživanje, Flickr, Hotmail, Yahoo Mail…) je izgleda ipak počeo djelovati kako ga je i sam njegov tvorac Eric Butler zamislio – natjerao je velike kompanije da počnu razmišljati o sigurnosti korisnika. Iako se stvari kreću relativno sporo, neki servisi su već počeli nuditi sigurniji način rada.
Potreba za SSL enkripcijom (HTTPS)
Ovo je prvi i glavni uvjet da budete zaštićeni od strane Firesheep-a (ali i ostalih napada koji se zasnivaju na sličnim principima rada) – iako je slično moguće postići putem VPN-a i enkriptiranih tunela do “sigurne točke”, jedino HTTPS protokol osigurava sigurnu komunikaciju između vas i servera na kojem je servis. Samo na ovaj način možete biti sigurni da nitko između neće prisluškivati, uključujući i lokalnu ne-wifi mrežu te sve međutočke na internetu – Firesheep se zasniva na napadu na WiFi mrežu, ali ranjivost nije ograničena samo na WiFi mreže.
Novi Firefox pluginovi koji su se pojavili u svrhu “zaštite” od Firesheep-a – Blacksheep te FireShepherd ne nude mnogo što se tiče sigurnosti podataka uslijed napada na tom principu, samo će vas obavijestiti da netko unutar mreže ima pokrenuti Firesheep ili ga pak onesposobiti.
Novije verzije preglednika podržavaju HSTS standard (HTTP Strict Transport Security) no dok stvar do kraja ne zaživi barem što se preglednika tiče evo par prijedloga za njihove pluginove.
Firefox zaštita
HTTPS Everywhere tj. HTTPS svugdje je Firefox plugin koji će vas pokušati zaštititi gdje je to moguće – servis kojem pristupate mora imati mogućnost HTTPS komunikacije unutar svih njegovih stranica kojima pristupate. Sličnu namjenu ima i Force-TLS, a i NoScript ima opcije za forsiranje HTTPS-a.
Chrome zaštita
Google Chrome već posjeduje način da ga se natjera da radi u isključivo “HTTPS modu” – početna opcija “–force-https” koju možete dodati prilikom startanja iz komandne linije (ili preko ikone) će ovo omogućiti, iako je nedostatak što tada nećete biti u mogućnosti uopće više upotrebljavati stranice koje nemaju omogućen HTTPS. Pluginovi koji će vas zaštiti forsiranjem HTTPSa na servisima koji to omogućavaju su Fidelio, Use HTTPS i KB SSL Enforcer.
IE zaštita
Za IE nažalost nema lakog načina kako forsirati HTTPS gdje je to moguće – jedino trenutno dostupno rješenje u obliku skripte radi isključivo za Facebook – potrebno je prvo instalirati i IE7Pro plugin.
Safari, Opera?
Iako je za Operu postojao plugin Security Enhancer s kojim se počelo na razvoju zaštite vezane uz forsiranje HTTPS-a, on se više ne razvija i nije dostupan za download. Ako tko ima više informacija o zaštitnim mehanizmima (plugin ili unutar samog preglednika) vezano uz ove preglednike vrlo rado ćemo dopuniti listu – samo ostavite referencu na njih u komentarima.
HTTPS omogućen već unutar servisa
Neki servisi sami omogućavaju postavljanje obavezne HTTPS komunikacije između korisnika i njih – primjer toga je svakako Gmail koji od početka godine ovo ima postavljeno kao zadanu vrijednost opcije, dok je to kod PayPala obavezno već duže vrijeme.
Twitter je dovoljno pokrenuti preko https://twitter.com adrese da i ostatak vremena budete zaštićeni putem HTTPS protokola (napomena – ako kliknete na nečiji link koji je u obliku http://twitter.com/… vam nažalost ovo neće pomoći, stoga pazite u kojem obliku su linkovi).
Hotmail (Microsoft Live Mail) od nedavno omogućava da se HTTPS postavi kao zadani protokol prilikom pregledavanja webmail-a – dovoljno je ovo jednom uključiti na linku https://account.live.com/ManageSSL.
Google pretraga na HTTPSu radi putem https://www.google.com – dostupna je samo globalna pretraga, nema lokalnih verzija kao google.hr.
Tagovi: firesheep, https, sigurnost, ssl
