Cookies och kryptering
Swecan, som de flesta andra webbforum, använder cookies för att hålla koll på inloggningar. En cookie med ett hemligt innehåll lagras på användarens dator och skickas sedan med varje HTTP-förfrågan till swecan.org som bevis på att användaren är inloggad.
Om man loggar in via HTTPS och sedan använder HTTPS hela tiden så är cookien, precis som allt annat som skickas mellan användaren och Swecan, krypterad. Det är utmärkt. Men om man någon gång råkar använda Swecan via HTTP istället för HTTPS, t.ex. genom att klicka på en länk någonstans, så kommer cookien, precis som allt annat, att skickas okrypterad. Vem som helst som avlyssnar trafiken på en router mellan användaren och Swecan kan då se cookien och därmed kapa användarens inloggningssession – vilket innebär att man kan läsa användarens privata meddelanden, skicka privata meddelanden och skriva inlägg från den användaren och ändra användarens inställningar. Allt som en eventuell avlyssnare behöver göra är lägga upp en länk till https://swecan.org istället för https://swecan.org någonstans och försöka få användaren att klicka på den – då kommer användarens webbläsare att skicka cookien helt okrypterad och all säkerhet man tror att man har fått genom att använda HTTPS är borta.
Det finns ett relativt enkelt sätt att hindra sådana attacker. En cookie kan ställas in att bara skickas över krypterade anslutningar. Det skulle innebära att man, om man har loggat in via HTTPS, helt enkelt inte är inloggad om man ansluter sig via HTTP istället. Cookien skickas aldrig okrypterad, och ingen som avlyssnar trafiken kan kapa inloggningen. Andra forum, t.ex. Flashback, har det inställt så. Det går att se om man tittar på sina cookies, t.ex. med Preferences / Privacy / Show cookies i Firefox. Om man markerar en cookie från flashback.org så står det “Send for: Encrypted connections only”, medan det för cookies från swecan.org står “Send for: Any type of connection”.
Vore det möjligt att konfigurera Swecans forummjukvara så att cookies som har satts via HTTPS bara skickas via HTTPS, precis som på Flashback?
- 12 Replies
För övrigt så behöver en eventuell avlyssnare inte ens övertala någon att klicka på en länk, det räcker med att lägga in en bild som finns på swecan.org i ett foruminlägg, så här:
Nu var jag snäll och lade in HTTPS-varianten, men om jag istället hade lagt in HTTP-varianten så hade alla som läser den här tråden laddat den bilden automatiskt, och deras webbläsare hade snällt skickat deras inloggningscookies okrypterat när de laddade bilden eftersom den ligger på swecan.org.
Om man har AdBlock Plus så kan man hindra sådant genom att lägga in regler som blockerar https://swecan.org/* och http://*.swecan.org/* (och sedan logga ut och logga in igen, för att få nya, säkrare cookies), men det borde verkligen fixas på servern.
Har suttit och funderat skit mycket kring detta. Detta inlägg kom som på beställning!
men vad fan, när jag skriver http://www.swecan.org blir det automatiskt https://swecan.org… när jag försöker lägga till ett s så varnar datorn mig för att länken inte är säker? Har jag fattat ngt fel, eller menar ni tvärtom här?
Pontus, ja datorn kommer protestera var gång du startar sidan tills du installerat certifikatet.
Jag kom över ett program som heter ” Tor – The Anonymous project ” vilket i princip gör att du instalerar deras mjukvara. Så blir du uppkopplad via deras server som du utgår ifrån varje gång du browsar eller tittar på något. Du är med andra ord krypterad via deras mjukvara. Sen när du väl använder ” Tor – Browser ” så använder jag HTTPS:// för att vara på den säkra sidan.
Detta känns enormt säkert och jag kan rekomendera just tor till er som har problem med diverse säkerhets frågor. Det finns ett krux dock. Att ju färre som använder det desto mindre säkerhet blir det. Det är därför jag kör HTTPS:// för att vara extra säker. Så med andra ord. Använder alla Tor så kommer du vara mer eller mindre helt säker med vissa undantag som nämns på deras sida.
MVh // Cosmodude
Tänkte precis skapa en tråd ang Torproject.
Jag har kört nu med Firefox 3 för att kunna använda vidalia och torbutton i FF. Eftersom tor button inte finns i nyare FF har jag kört 3:an.
Men för någon vecka sedan laddade jag ner den nya tor den som öppnar en egen webläsare. Detta rekommenderar jag till alla. Endast den torbrowsern
som är ansluten till tor påverkas alstå utav denna wap tunnel Hide-ip altså eller vad det nu kallas när man gömmer sig runt om i världen med Tor.
Så jag kan där med ha även en vanlig Firefox browser öppen där jag surfar sidor som jag inte behöver gömma mig på.
Detta är riktigt bra eftersom tor segar ner datan rätt bra och jag har bara 2Mbit uppkoppling. Så jag rekommenderar starkt tor till alla.Nu en fråga oxå om det inte är för OT. Kan jag nu uppgradera till senaste firefox utan att tor havererar?
Länk till Tor för den som vill ha.
https://www.torproject.or jag tog bort den sista bokstaven (g) i länken. Det var väl så här du menade Someshta eller?@Pontus wrote:
men vad fan, när jag skriver http://www.swecan.org blir det automatiskt https://swecan.org… när jag försöker lägga till ett s så varnar datorn mig för att länken inte är säker? Har jag fattat ngt fel, eller menar ni tvärtom här?
Gammalt inlägg som ändå förtjänar ett svar, du surfar fortfarande vis https men swecan är kanske inte supersnabba med att förnya sina certifikat därför får du ett felmeddelande.
Enligt Google Chrome går det här certifikatet ut 13 december i år, så nog ska det vara aktuellt. Men med kommentaren “This root certificate is not trusted”. Någon annan kanske vet mer om vad det innebär.
oj?
sammanfattning, swecan har inte betalat massa pengar til verisign för att få sina cert officiellt “trusted”.
Finns det någon möjlighet att fixa det här problemet? Alla Swecan-cookies är fortfarande inställda att skickas över okrypterade anslutningar även om de har skapats över en krypterad anslutning.
Ja, jag ska försöka hinna med det snart.
Log in to reply.