Седя си аз вчера в университета и в някакъв момент се усещам, че имам една много хитра програмка за Session Hijacking на Facebook сесии и реших да го пробвам … и о чудо – за 7 минути работа, успях да получа списък от 10 не защитени Facebook профила (след това и пуснах twitt-a, който е в заглавието).

Да започнем с лесната част – какво е Session Hijacking?

Най-просто обяснено – хакера се представя за вас пред сървъра. Не ви краде паролата, защото това е трудно. Просто прихваща заявките към сървъра с който комуникирате, копира вашия уникален ключ и информацията във cookie-то на сайта, които се използват за комуникация след първоначалния hand shake (размяна на пароли), инсталира ги на своя browser и се представя за вас.

Хубавата страна на нещата е че не може да ви изтрие профила или да ви смени пощата или паролата. Не може да направи нищо, което изисква да въведе паролата ви, защото не я знае.

Лошата, поне когато става дума за Facebook – може да разгледа снимките ви, тези на приятелите ви, да ви прочете кореспонденцията, да пише по стените ви и по тези на приятелите ви … може да разбие личния ви живот, ако сте толкова на вътре във Facebook.

Как да се предпазим?

Има 2 основни метода, като тук говорим само за Session Hijack.

1. Нямай доверие никому!

Това е най-простия метод. Избягвайте да се логвате в профила си през обществени мрежи или мрежи, които не са във ваш контрол или не са на ваши приятели. Всяка обществена мрежа е потенциална опасност, особено ако достъпвате важни ресурси. За това и винаги когато използвам отворени обществени мрежи използвам SSH Tunels.

2. Facebook Security

Колкото и да е странно, Facebook ви е дал много приятна функция, която се активира за 3 клика: Account Settings -> Security -> Secure Browsing.

Искам да ви предупредя, че разрешавайки Сигурно Браузване или както там е на български, няма да можете да използвате повечето Facebook игри. Flash не работи както трябва през https …

Имайте предвид, че няма такова нещо, като непробиваема защита, но това ще ви даде една допълнителна сигурност срещу такива малки и неприятни трикове като Session Hijacking.

В заключение

Нямам абсолютно против да не си активирате SSL -а. Нямам нищо против да ви ровя в профилите, без дори да се опитвам. Че за какво да имам? Такива хубави момичета има из тоя Facebook … а сега сериозно – поне бъдете някакво предизвикателство. Не да отида в заведение и да си подбера 15 профила и да си ги джойнна … или това трябва да почна да правя? Да ги добавям към страницата и да им пускам съобщения да си активират