CookieMonster ворует cookies с персональной информацией

image

Теги: HTTPS, cookie, Python

Программист Майкл Перри разработал инструментарий CookieMonster, позволяющий обманным путем получить cookies, используемые для авторизации на различных ресурсах.

Программист по имени Майк Перри обнаружил, что защищенные подключения HTTPS, используемые при доступе к банковским счетам и другим услугам через Интернет, не являются настолько безопасными, какими их принято считать.

Каждый раз, когда пользователь вводит персональные данные для получения доступа к своей учетной записи, эта секретная информация в виде cookie-файла передается по безопасному каналу. Однако Перри обнаружил, что разработчики сайтов не могут отделить защищенные элементы cookies от незащищенных и, используя достаточно несложную методику, злоумышленник может обмануть браузер и добиться передачи cookies-файлов в рамках обычного http-соединения. Приложение CookieMonster, написанное на языке Python, позволяет воспользоваться обнаруженной уязвимостью любому желающему.

Разработчик CookieMonster свою программу ограниченному числу экспертов в области информационной безопасности, однако в недалеком будущем планирует выложить его в открытый доступ.


или введите имя

CAPTCHA
Страницы: 1  2  
1
15-09-2008 12:20:00
0. Продолжать посещать сайты всяких инет-магазинов и банкинг только в режиме https; 1. Включить хранение кук только до закрытия браузера; 2. "При закрытии браузера удалять личные данные": добавить туда куки; 3. Спрашивать или не спрашивать перед удалением личных данных - на любителя; 4. Закрывать браузер по окончании посещения важных сайтов, таких как банкинг, инет-магазины и т.п; 5. Для тех, кто не пользуется Питоном в повседневной жизни - снести и не ставить Питон
0 |
1
15-09-2008 12:59:09
Продолжать посещать сайты всяких инет-магазинов и банкинг только в режиме https;необязательно. в нормальном магазине/банкинге/биллинге/и т.д. все данные передаются по https-у автоматом Включить хранение кук только до закрытия браузераэто грустно. криворукие программеры любят совать в кукисы пользователям приватную инфу. за это надо руки отшибать.
0 |
1
16-09-2008 14:51:02
Это все конечно замечательно, только вот большинство таких вот систем работают только через ie с activeX
0 |
1
15-09-2008 22:48:34
Картинка зачотная, валяюс!
0 |
1
16-09-2008 00:54:08
Животное в данном случае питается падалью (куками).
0 |
1
16-09-2008 04:01:32
AFAIK, при установке каждой куки сайт может указать, чтобы браузер передавал её только по защищённому каналу (https)...
0 |
1
16-09-2008 09:11:05
linuxkapetz++;
0 |
1
16-09-2008 11:33:54
картинка классная
0 |
Страницы: 1  2