Så här skyddar du dig mot Firesheep och andra facebook-hack

Uppdatering: nu är det enkelt att skydda Facebook. Gå till dina inställningar, välj ”Account security” och kryssa i att https ska användas.

Delar av internetvärlden, och massmedia, är i ett tillstånd av chock och panik. För resten av oss har det bara varit en tidsfråga. Att man kan kapa cookies som sänds okrypterade över trådlösa nätverk kommer inte som en överraskning. Det som är nytt är att Eric Butler satt ihop en plugin som gör att vem som helst kan göra det. Firesheep är så enkel att min mamma fixar det. ”Allemans-kapning” som @claes så träffande uttrycker det. Lyckligtvis är inte fixen så mycket svårare.

Notera: även om du inte bryr dig så mycket för din egen skull bör du ändå vidta åtgärder för att skydda dig. Genom access till din inloggning exponerar du också dina vänner på ett sätt som de kanske inte önskar. Be a good netizen och ta ditt ansvar.

1. Se till att all information skickas över SSL, där det är möjligt. Du har säkert sett det in action, webbadressen inleds då med https istället för http. Det här låter kanske som fikonspråk för dig, men oroa dig inte. Det enda du behöver göra är att installera en plugin i den webbäsare som löser det här. Jag kör Chrome och då funkar KB SSL Enforcer utmärkt. För Firefox rekommenderas tydligen Force TLS. Jag återkommer med förslag för Safari och IE, om det finns sådana. För Chrome och Firefox är det i alla fall bara att installera pluginen, följa anvisningarna – så är du säker mot #firesheep.

Så här ser det ut i Chrome när man är skyddad mot Firesheep
Uppdatering, i kommentarerna diskuteras inställningarna av de här skydden. Se till att du ställer in dem manuellt, lägg in www.facebook.com och facebook.com i ”whitelist” (motsv). Förlita dig inte på att de löser det automatiskt, då sker en första uppkoppling utan skyddet aktiverat och du kan drabbas ändå.
Uppdatering 2: än värre, tecken tyder på att skyddet i Chrome inte kickar in direkt, oavsett hur man konfigurerar det. Se kommentarerna nedan.

2. Om du inte reder ut ovanstående, stanna på din 3G-uppkoppling tills du fått hjälp med #1. Undvik öppna, trådlösa, nätverk.

3. På vissa tjänster, tex gmail, kan du gå in i inställningarna och klicka i att den alltid ska använda SSL, där behövs ingen plugin. Men det skyddar alltså inte Facebook, Twitter och många andra tjänster som du loggar in på. Tillbaka till #1 igen alltså.

Smarta gmail har skyddet inbyggt

Ingen anledning till panik alltså. Däremot får du gärna smälla till tomtarna på Facebook och Twitter för att de inte gjort något åt det här för länge sedan. Firesheep var bara en tidsfråga…

Men det viktigaste av allt har jag sparat till sist. Och det här är viktigt. Om något är riktigt, riktigt viktigt för dig – digitalisera det inte, och ägna dig inte åt det på offentliga platser. Men så kan man ju inte hålla på… ;)

Mer:
Bra från Jeroen Wolfers.
Mindre bra, expressens tips. På andra plats: ”Om du loggar in på dessa konton – undvik Firefox.” WTF?

Uppdatering: Jag tänker om och pushar för bästa lösningen. Läs mer om VPN.

35 thoughts on “Så här skyddar du dig mot Firesheep och andra facebook-hack”

  1. Tack för bra inlägg! Men har jag förstått rätt att det är bara via öppna WIFI nätverk som risken finns? Om jag kör via 3G telefon eller skyddat nätverk så är det lugnt.

    Reply
  2. Om jag inte har missat något grundläggande så löser inte KB SSL Enforcer problemet. Du kan läsa på extension-sidan:

    Due to Chrome limitations KB SSL Enforcer redirects while the page is loading. This can give a quick flicker of the unencrypted page, but it redirects you as fast as possible and makes sure all links on the page are to the encrypted version after.

    Det innebär att när du i Chrome (med KB SSL Enforcer aktiverad) klickar på en http-länk till Facebook (i ett mail från Facebook, t ex) så kommer webbläsaren först att skicka en request till http://www.facebook.com/ innan extensionen snappar upp det och omdirigerar dig till https://www.facebook.com/. I den första requesten kommer dina kakor på facebook.com-domänen att skickas okrypterat över nätet, redo att ätas av kakmonstret.

    Chrome behöver fixa issue 50943 innan det går att implementera funktionalitet motsvarande EFF:s HTTPS Everywhere, som jag skulle rekommendera över Force-TLS om du måste välja (även om det inte skadar att ha båda).

    Reply
    • Men åh. Varför lägger Disqus in en massa br-element i kommentarerna. Det blir ju inte så snyggt. Strippar cite-attribut från blockquote-element gör de också. Hur tänkte de då?

      Reply
    • Jag kanske inte var tillräckligt tydlig med att man ska läsa instruktionerna. Poängen är att inte förlita sig på autodetect utan att i inställningarna lägga till de sajter som är känsliga i whitelist. Jag ska uppdatera posten.

      Reply
    • Stämmer. Om jag skriver “facebook.com” i mitt adressfält, med SSL Enforcer igång, hinner Chrome skicka min sessionscookie allra minst 2 ggr innan jag är överflyttad till https.

      Om Facebook såg till att sätta secure-flaggan på cookien (så att den aldrig ska skickas med en icke-krypterad request) om man loggar in via https skulle det vara ett lite mindre problem. Men med tanke på att de helt idiotiskt strösslar sidorna med hårdkodade http-länkar även när man kör SSL kanske man inte ska hoppas för mycket.

      Reply
  3. Det sura är bara att en SSL-anslutning kräver fem roundtrips av TCP-paket för att etableras, istället för två roundtrips för en icke-ssl-anslutning. Detta betyder att om man sitter på en lina med dålig ping så blir det fruktansvärt trögt. Det och att lirare som facebook skulle behöva köpa en jäkla massa extra servrar för att göra alla extra beräkningar. Men aja, det är väl dit vi måste till slut, ett nät där allt körs i SSL-tunnlar. Kanske vettigt med tanke på FRA osv. :)

    Reply
    • In January this year (2010), Gmail switched to using HTTPS for everything by default. Previously it had been introduced as an option, but now all of our users use HTTPS to secure their email between their browsers and Google, all the time. In order to do this we had to deploy no additional machines and no special hardware. On our production frontend machines, SSL/TLS accounts for less than 1% of the CPU load, less than 10KB of memory per connection and less than 2% of network overhead. Many people believe that SSL takes a lot of CPU time and we hope the above numbers (public for the first time) will help to dispel that.

      If you stop reading now you only need to remember one thing: SSL/TLS is not computationally expensive any more.

      http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html

      Reply
    • Det ser ut att fungera fint om man installerar prenumerationen som också finns föreslagen på sidan. Programmet dirigerar då om webbläsaren till https i istf http.

      Reply
  4. KB SSL Enforcer fungerar inte på den allra första uppkopplingen till sidan, och beror på en begränsning i Google Chrome’s stöd för tillägg. En bugg finns öppen för det här problemet däremot (Chromium issue 50943), och utvecklaren av KB SSL Enforcer har redan sagt att när det är fixat (tidigast i Chrome 9), så kommer han att uppdatera sitt tillägg för att stödja även detta, och därmed vara mer likställd det motsvarande tillägget för Firefox.

    Reply
  5. Kör via stationär dator, ADSL modem o fast anslutning, MS XP Pro sp2 o FF 5.0 – bör jag vara på min vakt? Inget trådlöst här inte!!!

    Reply

Leave a Reply to Andreas EhnCancel reply