Posible duplicado:
En wifi público no cifrado, ¿en qué tipo de peligro real estoy?
Buscando información sobre cómo capturar las cookies de sesión cuando se conectan a wifi sin cifrar.
¿Qué se puede hacer con ellos, etc?
Por favor, proporcione información sobre la pregunta y evite respuestas como "usar vpn" o "no conectarse a wifi sin cifrar".
Gracias.
Actualización: Editado para una mejor definición de alcance.
Update2: Para futuros buscadores, encontré estos artículos muy interesantes. Tienen buena información sobre el tema. http://blogs.computerworld.com/17338/some_thoughts_on_blacksheep_and_firesheep
wireless-networking
CChriss
fuente
fuente
Respuestas:
1) El wifi sin cifrar generalmente significa una conexión "abierta" como la que se usa en Mcdonalds y en muchas ubicaciones. Cuando Wifi está abierto, normalmente, es posible que todos vean lo que hacen los demás. Cuando inicia sesión en sitios web, el sitio web normalmente lo recuerda guardando una cookie en su máquina.
Por lo tanto, capturar la cookie de sesión básicamente significa robar la cookie y colocarla en una sesión activa en otro lugar para engañar al servidor para que piense que usted es la persona que inició sesión.
2) ¿Entradas y salidas? : S - bueno, creo que lo cubrí en la primera parte: el wifi no seguro es conveniente, pero por su naturaleza, no lo es.
Usted dice filtrar las respuestas sobre el uso de VPN, pero esa es honestamente la solución: un túnel cifrado hacia una red de confianza. Muchos puntos de acceso wifi son totalmente compatibles con los clientes VPN e incluso te dan archivos de configuración de forma gratuita (por ejemplo, BT Openzone VPN cliente para el Reino Unido. ).
Las redes basadas en WPA2 hacen un mejor trabajo aislando las conexiones entre sí, pero todavía tiene sus problemas y es hackeable por alguien que sabe lo que está haciendo.
La única opción verdaderamente segura (IMHO) son las redes wifi basadas en certificados, pero aparte de las grandes empresas con la infraestructura que la soporta, simplemente no la ve todos los días.
fuente
Para responder a su segunda pregunta, una solución puede ser un servidor proxy que utiliza SSL.
Otra solución es un complemento de Firefox llamado HTTPS Everywhere que intenta forzar las conexiones SSL.
Si no estás buscando cambiar el tráfico, puedes intentar usar Blacksheep. Es un complemento que detecta la captura de cookies de sesión HTTP, pero no lo impide.
fuente
Alquiler-a-VPN. Seriamente. Su perfil no indica dónde se encuentra, pero en los EE. UU. Hay algunos servicios VPN de suscripción que harán exactamente lo que necesita sin tener que implementar su propio servidor. PublicVPN es una con la que estoy familiarizado y un cliente feliz. $ 7 / mes, mes a la vez, y ningún requisito para renovar.
fuente
Otra opción sería usar el good-ol '. SOCKS + ssh trick . (Con suerte, nadie volverá a enviar esa página como si la hubiera encontrado en google. Hubo algunos errores.
div
ocultando el contenido real, pero lo arreglé obteniendo una cuenta en ese wiki, agregando?action=history
a la URL, yendo a la revisión anterior, haciendo clic en "editar" y guardando esa versión anterior como una nueva versión.)fuente