A "packet-sniffer'y" nie działają w sieciach kablowych?;]

Packet-sniffer działa jeśli jesteś w tym samym segmencie sieci. Akurat w publicznym punkcie WiFi jest duże prawdobieństwo, że znajdziesz się w tym samym segmencie co oszust. Przynajmniej ja tak rozumuję

Przepraszam, czy Web 2 to jakis jezyk programowania? Pisanie o tym w ten sposob jest totalna ignorancja. Web 2 to sposob na komunikacje z odwiedzajacym Serwis, a jesli ma byc niebezpieczne to poddajecie pod watpliwosc wszystkie technologie w jakim tworzone sa dynamiczne aplikacje internetowe.

"Taki klucz zawiera informacje o tym, że użytkownik jest zalogowany."
Nie klucz, tylko sesja o danym identyfikatorze.

Ogólnie news jest niedopracowany i wymaga uzupełnienia. Tak więc szybciutko szybciutko... do roboty autorze!

W sieciach "przewodowych" również. Jeśli tablica mac adresów switcha zostanie przepełniona, to zaczyna on działac jak hub.. i pakiety śmigają do wszystkich.. a wtedy sniffer.. wiadomo ;]

Jak rozumiem, ow nowy "atak" to po prostu zwrocenie uwagi na:
- sposob dzialania sieci Ethernet
- fakt, ze korzystajac z sieci czesto przesylamy wazne dane w formie niezaszyfrowanej
- zwyczajowy sposob logowania uzytkownikow w serwisach www

Artykul przypomina mi kawaly o radiu Erewan. "Larum! Jak bedziesz korzystac z Web 2.0 przez wifi, to zly hakier przejmie twoje konto!"
- nie tylko modne "Web 2.0" (czy to jakis nowy protokol? Jest gdzies do niego RFC?) ale cokolwiek wysylane po standardowym http
- nawet nie tylko http, ale kazdy niezaszyfrowany protokol, np. standardowe POP3 czy SMTP
- nie tylko WiFi, ale kazda siec typu Ethernet, czy to bezprzewodowa czy z kabelkiem
- nie tylko zly hakier specjalnie musi sie starac, ale kazdy komputer w segmencie Ethernetu ma dostep do tych danych i co wiecej, musi miec do nich dostep - a przynajmniej do naglowka pakietu, zeby sprawdzic czy to informacja do niego
- przechwycic session cookie mozna w nie tylko w wifi i nie tylko w serwisach Web2.0, ale w kazdym z przypadkow kiedy mozemy podsluchac czyjas transmisje po http (patrz wyzej)
Poza tym, jak w porzadnym kawale o radiu "wszystko sie zgadza".

Rozumiem, ze jest wiekszy news jak sie napisze tak, jak artykul jest napisany. Nie jestescie jednak Fucktem tylko dosc sensownym serwisem, wiec proponuje jednak przedkladac rzetelnosc nad krzykliwosc...

Atak znany od czasów powstania cisteczek i sesji - na długo przed tym jak się śniło o Web 2.0 :)
Zresztą wystarczy mieć jakiś serwer w internecie przez który przechodzi komunikacja żeby to zrobić.

A IMHO HTTPS jest stosunkowo znanyą i skuteczą metodą zabezpieczeń przed tym...

@atx: Po pierwsze - jesli uważa Pan, że nie ma o co robic krzyku, to prosze w pierwszej kolejności się z tym zwrócić do specjalistów z Errata Security, którzy wystąpili z tym na konferencji Black Hat.

Po drugie - tekst zwraca uwagę na serwisy Web 2.0, gdyż są one specyficzne. Prosze zauważyć, że użytkownicy zostawiają w nich dość dużo cennych danych, ale mimo to nie stosuje się w ich przypadku szczególnych zabezpieczeń (nie łaczymy się z nimi domyślnie przez SSL - zaprzeczy Pan?).

Po trzecie - nie wiem dlaczego nazywa Pan tekst krzykliwym. NIe ma w nim ani jednego wykrzyknika i wcale nie ma stwierdzenia, że problem jest nowy... no chyba, że nie przeczytał Pan pierwszych akapitów, to rozumiem skąd takie stwierdzenia w komentarzu.

Samochód na gaz niebezpieczny, jeśli jesteś na drodze publicznej.

Pisanie Web 2.0 to troche przesada. W tym artykule jest mowa o serwisach, które nie strzegą danych użytkownika, a takim serwisem, może być i zwykły mały, stary i nie web 2.0 e-sklep jakiejś malutkiej firmy.Z drugiej strony wiele firm nie może sobie na to pozwolić, bo trzeba mieć certyfikaty, a te kosztuja po kilka tysięcy złotych, a na "darmowych wersjach" przeglądarka wywala komunikat, że strone może być fałszywa.

W zasadzie nie zaprezentowali nic nowego, ale dobrze, że przypomnieli istnienie problemu.

Programy wykorzystujące ten błąd istnaiły już od dawna, np seria programów do podsłuchiwania rozmów na gg. Głownie z tego pwoodu, siedze dalej na neostradzie, a nie w lokalnej sieci. W internecie jest tyle opisów jak podsłuchiwać innych, że w każdej chwili jakiś dzieciak może się zacząć w to bawić.

To zescie panowie Ameryke odkryli. Nie ma juz o czym pisac ? Czy moze tematy z "Web 2.0" w nazwie sa bardziej trendy ?

Michal2000:
"Z drugiej strony wiele firm nie może sobie na to pozwolić, bo trzeba mieć certyfikaty, a te kosztuja po kilka tysięcy złotych..."

-"kil ka tysięcy złotych"? Taki certyfikat SSL można kupić za 200 zł (nie wstawiam linka ale na tej stronie po lewej jest reklama jednej firmy)

Certyfikat 'nieprofesjonalny' to koszt wklepania
apt-get install openssl lub odpowidnika
I przeczytania kilku manuali.