Du missar väl inte att vi även finns på Twitter? Där får du krypto och IT-säkerhetsrelaterade nyheter mellan uppdateringarna här på bloggen.

Klicka på bilden för att komma till vår Twitter-profil:

Följ oss på Twitter: http://twitter.com/kryptera

Den populära mikroblogg-tjänsten Twitter börjar successivt med att slå på https för samtliga avändare. Vi rapporterade i Mars att Twitter slagit på https och valet att nu gå över helt till https beror troligtvis på attacker såsom Firesheep.

Källa:

Du kan även titta på supportsidan: support.twitter.com/articles/481955-how-to-enable-https

Följ oss på Twitter: http://twitter.com/kryptera

Precis som Facebook så inför nu även den sociala tjänsten Twitter en inställning för att forcera https. Detta har enbart varit möjligt tidigare genom exempelvis webbläsarplugins som Use HTTPS (chrome) och HTTPS Everywhere (firefox).

Tyvärr så rapporterar Twitter att https-inställningen ej fungerar för den mobila versionen mobile.twitter.com. Dock är det möjligt att manuellt skriva in https://mobile.twitter.com

Skärmdump från inställning:

Uppdatering: Nu har även IDG skrivit om denna nyhet.

Följ oss på Twitter: http://twitter.com/kryptera

Ingen kan ju ha undgått de senaste attacker med hjälp av verktyget Firesheep som underlättar för den enskilde att utföra såkallade sessions-attacker för att kopiera den sessions-cookie som alla webbsajter använder sig av efter en inloggning.

Attacken kan med fördel utföras på ett trådlöst nätverk där Cookies går att ”sniffa upp” vilket är typiskt vid Internet-caféer eller konferenser, företagsnätverk. Även så måste sajten där Cookien sniffas upp ej använda https vilket är fallet för exempelvis Twitter, Facebook, LinkedIn och liknande som inte använder https som standard.

Bästa sättet att skydda sig är att använda en VPN-uppkoppling över trådlösa nätverk. Detta kan sättas upp med hjälp av en tjänst såsom Anonine eller IPRedator. Vi får även hoppas att allt fler går över till att enbart använda https, dock är detta inte  helt trivialt eftersom detta kräver mer datorresurser exempelvis. Ett annat tips är att använda något av de plugins till webbläsaren som tvingar fram https.

Firesheep är ett Firefox-plugin och hittas på adress codebutler.com/firesheep. Även så rekommenderas Anders Thoressons förslag att använda din hemmarouter som VPN.

Fler bloggare som skrivit om detta:

• TKJ
• Jardenberg

Följ oss på Twitter: http://twitter.com/kryptera

Det har uppdagats en ny typ av fjärrmässiga tidsattacker (exploiting remote timing attacks). Det var under konferensen BlackHat som gick av staplen för några dagar sedan i Las Vegas där kryptogurun Nate Lawson visade hur det är möjligt att lista ut huruvida den första byten i en HMAC-sträng är korrekt eller ej. Denna typ av attack påverkar exempelvis oAuth eller OpenID och används av flertalet stora webbtjänster såsom Twitter.

Det är inte första gången som tidsattacker utnyttjas fjärrmässigt i kryptoimplementeringar, utan detta har påvisats ett antal gånger historiskt.

Läs mer på Nate:s blogg eller ComputerWorld.

Följ oss på Twitter: http://twitter.com/kryptera

Kryptera.se finns nu även på Twitter, följ oss gärna där: http://twitter.com/kryptera

Följ oss på Twitter: http://twitter.com/kryptera

PHP-säkerhetsgurun Stefan Esser skriver ett inlägg på Twitter. Detta är nog inte helt ovanligt kan tänkas

Följ oss på Twitter: http://twitter.com/kryptera