Хакер #305. Многошаговые SQL-инъекции
Впервые за 13-летнюю историю в почте Microsoft Hotmail появилась возможность
от начала и до конца шифровать сессии при помощи SSL.
Можно отметить, что подобное полное шифрование по умолчанию присутствует в
Google Mail уже более двух лет. Однако и в данном случае Microsoft не обошлась
без занятных ограничений - так шифрование не применимо для работы с
приложениями, даже внутренними программами Microsoft типа Outlook Hotmail
Connector или Windows Live Mail. Тот же Gmail работает по защищенному протоколу
с Thunderbird, Eudora и даже Outlook.
Так или иначе - применение шифрования для Hotmail, пусть даже
в таком, несколько усеченном виде, лучше
чем ничего. Дело в том, что сервисы, использующие обычное, незашифрованное
http-соединение, могут быть легко взломаны. Для этого достаточно просто устроить
наблюдение за всем трафиком, который передается от компьютера конкретного
пользователя до серверов интересующего сервиса.
Плагин Firesheep для браузера Mozilla Firefox, разработанный Эриком Батлером,
демонстрирует, как просто можно украсть пользовательские логины и пароли на
различных сайтах в незащищенной Wi-Fi-сети. Утилита основана на методе перехвата
cookies - служебных файлов на компьютере пользователя, хранящих информацию о
посещении определенных веб-сайтов. Firesheep позволяет украсть чужой аккаунт при
условии, что шифрованию не подвергается ни http-соединение с сайтом, ни трафик в
беспроводной сети Wi-Fi.