ثغره مفااجأه : إضافه في الفايرفوكس تخترق حسابات فيس بوك وتويتر وفليكر

ثغره مفااجأه : إضافه في الفايرفوكس تخترق حسابات فيس بوك وتويتر وفليكر

ثغره مفااجأه : إضافه في الفايرفوكس تخترق حسابات فيس بوك وتويتر وفليكر

قال Eric Butler مبرمج التطبيقات مفتوحة المصدر ، انه إبتكر اضافة لمتصفح الفايرفوكس يمكنها ببساطه بالغه السطو على حسابات بعض المواقع الشهيره مثل الفيس بوك وتويتر وكذلك موقع الصور الشهير فليكر .

- وعبر صفحة مشروعه في موقع codebutler شرح ايريك بنفسه فكرة الاضافه : ( عند تسجيل الدخول إلى الموقع المستهدف عادة ما تبدأ من خلال تقديم اسم المستخدم وكلمة السر.الى الخادم ، الذى يتحقق لمعرفة ما اذا كانت هذه المعلومات مطابقه لحسابك في قاعدة البيانات ، الردود تعود لكم مع “الكوكيز” الذي يستخدم من قبل المتصفح لجميع الطلبات اللاحقة… )

- وواصل باتلر : ( من الشائع جدا للمواقع التى تهتم بحماية بيانات مستخدميها حماية كلمة السر الخاصة بك عن طريق تشفير محاولة الدخول الأولي ، ولكن من غير المألوف و من المستغرب للمواقع ان تقوم بتشفير كل شيء آخر. وتترك كوكيز المستخدم بهذا الضعف )
- واكمل : ( عندما يكون الضحيه على شبكة لاسلكية مفتوحة ، يكون من السهل للغاية تنفيذ هذه الهجمات. مما يسمح للمهاجمين القيام بأي شيء يمكن للمستخدم القيام به على موقع معين. )
- وسدد المبرمج سهام انتقاداته للمواقع الكبرى قائلا : ( هذه مشكلة معروفة على نطاق واسع ، للاسف بعض المواقع الشعبية جدا تفشل في حماية مستخدميها. الإصلاح الفعال الوحيد لهذه المشكلة هو تطبيق نظام التشفير للنهايات ، المعروفة على شبكة الانترنت وخدمة تصميم المواقع ، موقع مثل فيسبوك يواصل صراخه دائما و باستمرار باهتمامه الدائم بسياسة “الخصوصية” لمستخدميه ، في محاولة لا تنتهي لقمع صرخات من المستخدمين الغير راضين ، ولكن كيف تكون الامور عندما يقوم شخص ما بالاستيلاء على الحساب تماما؟ موقع تويتر ايضا انفق ما انفق من اجل تطوير واجهته مؤخرا ولكن دون حمايه حقيقيه لبيانات مستخدميه .)
- وعرض بالتر شرح مصور لعمل إضافته التى اطلق عليها Firesheep على النحو التالى .

1- بعد تنصيب الاضافه ستجد قائمه جانبيه قد ظهرت اليك ، الان اتصل بأي شبكة واي فاي مفتوحه في نطاقك ، ثم اضغط زر Start Capturing وانتظر قليلا

- عند قيام اي شخص على الشبكه بالدخول لاحد المواقع المعروفه للاضافه سيتم مباشرة عرض صورته وبياناته عندك على يسار القائمه الجانبيه كما توضح الصوره التاليه

-الان اضغط مرتين على اسم او صوره المستخدم على اليسار ، انت الان بكل صلاحيات هذا المستخدم على الموقع .

وختم المبرمج الدرس الموجه الى كل المواقع التى تتهاون في تشفير وحماية بيانات مستخدميهم قائلا : ( المواقع الشهيره لديها مسؤولية حماية اعضاؤها الذين يعتمدون على خدماتها. لقد تمت

جاهل هذه المسؤولية لفترة طويلة جدا ، وحان الوقت للجميع للمطالبة باتصال للمواقع أكثر أمنا. وأملي هو أن Firesheep سيساعد المستخدمين على الفوز.

- وكان عدد كبير من المواقع التقنيه الكبيره مثل ( انفورميشن ويك ) قد خصصت مساحات واسعه للتحدث ووصف تلك الثغره المرعبه

Posted in: الاختراق,دروس