quarta-feira, outubro 27, 2010

Três alternativas para se proteger do Firesheep


Alternativa 1: Utilizar o plugin NoScript no Firefox e configurar:

NoScript->Options->Advanced->HTTPS

Force the following sites to use secure (HTTPS) connections:
twitter.com
*.twitter.com
google.com
*.google.com
facebook.com
*.facebook.com




Alternativa 2: Instalar o plugin HTTPS Everywhere no Firefox;




Alternartiva 3: Não usar twitter, facebook, gmail e qualquer serviço que não utilize sempre canal seguro para comunicação em redes públicas, ou sempre verificar se o seu acesso é sempre via https ou através de VPN.


Apresentação sobre o Firesheep realizada na Toorcon aqui.

O ataque do Firesheep não é novidade, apenas facilitou com poucos cliques o que já era possível fazer a mão e escancarou o problema. E o Firesheep também não é único, também existe a ferramenta Idiocy, feita em python.



Para os desenvolvedores Web:

- Todos os cookies das aplicações devem estar com a flag "Secure" especificada.

- Outro cuidado é também especificar a flag "HTTPOnly" nos cookies, para evitar ataques do tipo XSS (cross-site scripting).

Para maiores referências, verifiquem a página da OWASP: http://www.owasp.org/index.php/Testing_for_cookies_attributes_%28OWASP-SM-002%29

quinta-feira, outubro 21, 2010