Precis som Facebook så inför nu även den sociala tjänsten Twitter en inställning för att forcera https. Detta har enbart varit möjligt tidigare genom exempelvis webbläsarplugins som Use HTTPS (chrome) och HTTPS Everywhere (firefox).
Tyvärr så rapporterar Twitter att https-inställningen ej fungerar för den mobila versionen mobile.twitter.com. Dock är det möjligt att manuellt skriva in https://mobile.twitter.com
Skärmdump från inställning:
Ingen kan ju ha undgått de senaste attacker med hjälp av verktyget Firesheep som underlättar för den enskilde att utföra såkallade sessions-attacker för att kopiera den sessions-cookie som alla webbsajter använder sig av efter en inloggning.
Attacken kan med fördel utföras på ett trådlöst nätverk där Cookies går att ”sniffa upp” vilket är typiskt vid Internet-caféer eller konferenser, företagsnätverk. Även så måste sajten där Cookien sniffas upp ej använda https vilket är fallet för exempelvis Twitter, Facebook, LinkedIn och liknande som inte använder https som standard.
Bästa sättet att skydda sig är att använda en VPN-uppkoppling över trådlösa nätverk. Detta kan sättas upp med hjälp av en tjänst såsom Anonine eller IPRedator. Vi får även hoppas att allt fler går över till att enbart använda https, dock är detta inte helt trivialt eftersom detta kräver mer datorresurser exempelvis. Ett annat tips är att använda något av de plugins till webbläsaren som tvingar fram https.
Firesheep är ett Firefox-plugin och hittas på adress codebutler.com/firesheep. Även så rekommenderas Anders Thoressons förslag att använda din hemmarouter som VPN.
Fler bloggare som skrivit om detta:
Det har uppdagats en ny typ av fjärrmässiga tidsattacker (exploiting remote timing attacks). Det var under konferensen BlackHat som gick av 
staplen för några dagar sedan i Las Vegas där kryptogurun Nate Lawson visade hur det är möjligt att lista ut huruvida den första byten i en HMAC-sträng är korrekt eller ej. Denna typ av attack påverkar exempelvis oAuth eller OpenID och används av flertalet stora webbtjänster såsom Twitter.
Det är inte första gången som tidsattacker utnyttjas fjärrmässigt i kryptoimplementeringar, utan detta har påvisats ett antal gånger historiskt.
Läs mer på Nate:s blogg eller ComputerWorld.
Kryptera.se finns nu även på Twitter, följ oss gärna där: http://twitter.com/kryptera
PHP-säkerhetsgurun Stefan Esser skriver ett inlägg på Twitter. Detta är nog inte helt ovanligt kan tänkas
