Efter Firesheep: Facebook og Twitter scorer dumpekarakter på sikkerhed

I sidste uge flød alverdens it-medier over med nyheden om Firefox-plugin'et Firesheep, der gør selv 'hr. og fru pc-kørekort' i stand til at kidnappe andres Facebook- og Twitter-konti på åbne, trådløse netværk.

Og netop fordi Firesheep gør det så let at hacke sig ind på andres personlige brugerprofiler, har sikkerheds-bloggeren George Ou sat sig for at fremstille en tabel over hjemmesider og webtjenester, som han giver karakter efter deres grad af sikkerhed.

Og det ser ikke godt ud for store hjemmesider som Facebook og Twitter, der begge modtager karakteren F efter den amerikanske karakterskala, hvilket er den absolutte bund- og dumpekarakter.

Ej heller ser det for godt ud hos billedtjenesten Flickr og Microsofts mailtjeneste Hotmail, der scorer karakteren D-.

»Der er kommet langt mere fokus på sikkerheden den seneste uges tid efter frigivelsen af et simpelt værktøj til hijacking af brugerkonti med navnet Firesheep,« skriver George Ou i et blogindlæg.

Firesheep er udviklet af programmøren Eric Butler for at få især de store, populære hjemmesider til at fokusere mere på end-to-end-kryptering.

Plugin'et installerer sig som en sidebar i Firefox. Herfra kan brugeren skanne et åbent, trådløst netværk og få en komplet liste over brugere, der er logget ind på diverse hjemmesider, som Firesheep kender.

Med et dobbelt-klik på en bruger er du automatisk logget ind som brugeren på for eksempel Facebook eller fototjenesten Flickr.

**LÆS OGSÅ **Kidnap andres Facebook-profiler med nyt plugin til Firefox

George Ou sætter fingeren på det ømme punkt og påpeger, at selvom flere af de helt store hjemmesider har rådet brugerne til at slå tvungen SSL til i browseren, så kan der stadig gennemføres såkaldt sidejacking ? et angreb, hvor en bruger kan opsnappe en anden brugers autentifikations-cookie, som bruges til at identificere brugeren efter login.

»Mine tests viser, at sidejacking stadig er muligt, selvom hjemmesiden kører SSL (tvunget af browseren, red.). Enkelte har foreslået værktøjer, der går så langt som at omskrive hjemmesidens Javascript-kode, men vi kommer ud på dybt vand med hensyn til kompleksiteten, og det skal ikke være sådan, at brugeren skal til at redesigne de besøgte hjemmesider for at beskytte deres konti,« skriver George Ou, der efterlyser permanente løsninger fra Facebook, Twitter.

Dansk sikkerhedsekspert: Godt med opmærksomhed

Den danske it-sikkerhedsekspert og direktør i Solido Networks, Henrik Kramshøj, mener ikke, at der er nogen overraskelser på George Ou's tabel.

Sponseret indhold

Dansk IP-telefoni rider højt på den buldrende Teamsbølge

IT-projekter

»Men det er da ubehageligt at få sådan noget smasket lige op i ansigtet, for nu er man 100 procent klar over, hvor usikkert det er for eksempel at bruge en tjeneste som Twitter,« siger han.

Han mener, at tabellen er endnu et skridt på vejen mod en større opmærksomhed på den ringe it-sikkerhed på mange hjemmesider.

»Det er superfint, at der er nogen, der laver sådan et samlet scorecard. Det er lige præcis noget af det, der skal til for at de ansvarlige administratorer for de pågældende hjemmesider sætter sig ned og gør noget ved problemerne. Brugerne holder jo generelt ikke op med at benytte tjenester som Facebook, selvom de får at vide, at det er usikkert,« siger Henrik Kramshøj.

Selvom Firesheep ikke har demonstreret nogen ny sikkerhedsproblematik, mener direktøren alligevel, at plugin'et har sat øge fokus på sikkerheden, fordi hvem som helst kan bruge plugin'et.

»Man dobbeltklikker jo bare på en liste over brugere, der er logget ind på et åbent, trådløst netværk, og så er man logget ind som dem. Når det pludselig er så nemt at gå til, er der mange, der bliver opmærksomme på problemet,« siger Henrik Kramshøj.

I den gode ende af skalaen finder man Google mailtjeneste Gmail og content management-systemet Wordpress - med SSL-kryptering - der begge scorer et klokkeklart A.

Se George Ou's tabel her.