לאחר הכתבות האחרונות שמסעירות את הנט, על התוסף שפתחו ומגלה פרצות אבטחה באתרים שלא מוצפנים (HTTPS).

אשמח אם מישהו יוכל להסביר ככה תמציתי מהו חיבור VPN? ומהי הצפנת SSL?

האם קיימים שירותי VPN חינמים? רק על מנת להתחבר באלחוטי לאתרים לא מאובטחים?

ואיך אפשר להצפין בעצם את הגלישה וההורדות ב-SSL?

תודה רבה!

התוסף, FireSheep, עושה שימוש ב-Packet Sniffing ומאפשר לו לגנוב

סיסמאות\Session Cookies ממשתמשים אחרים על אותה רשת (לרשתות

חברתיות שהוגדרו לו מראש, פייסבוק, טייטר...). לידעתך, אפשרי לגנוב גם

סיסמאות ברשת שהיא מוצפנת ויש לך גישה אליה או ברשת קווית שאליה

אתה מחובר בעזרת ARP poisoning / DNS Spoofing אלא אם כן יש

יישום כלשהו ברשת שמונע ממך.

HTTPS הוא חיבור מוצפן לשרת, לא כל השרתים תומכים באופציה זאת,

פייסבוק תומכת אך ורק ב-Login Session בהצפנה, ולאחר מכן שולחת

אותך לחיבור רגיל שמאפשר לגנוב לך את ה-Session Cookie. אם כל

החיבור היה תחת HTTPS זה לא היה אפשרי, אבל פייסבוק לא תומכת

בזאת.

HTTPS הוא בעצם HTTP over SSL. ו-SSL הוא תוסף אבטחה שמאפשר

ליצור חיבורים מאובטחים, שמונעים הבנה של צד שלישי לתעבורה שקיימת בינך

לבין השרת. עדיין ניתן להאזין לתעבורה, אך היא מוצפנת ולרוב היא תהיה חסרת

ערך.

שכן הפייסבוק אינה תומכת בחיבור מוצפן מעבר למסך הכניסה, צריך למצוא דרך

להצפין את החיבור. ניתן לעשות את זה בעזרת VPN - Virtual Private Network,

שהוא יישום נוסף של SSL אשר מתעל את כל התעבורה שלך דרכו, מה שמצפין את

כל החיבור שלך. לא קיימים שירותי VPN בחינם, לא כאלה שתוכל להשתמש

בהם...

http://codebutler.com/firesheep

http://codebutler.com/firesheep-a-day-later

http://en.wikipedia.org/wiki/Firesheep

http://en.wikipedia.org/wiki/ARP_spoofing

http://www.softpanorama.org/DNS/Security/dns_spoofing.shtml

http://en.wikipedia.org/wiki/HTTP_Secure

http://en.wikipedia.org/wiki/Virtual_private_network