"Ukradli jsme Facebook účet. S Androidem a za pět sekund"
"Co potřebuje hacker k proniknutí na cizí účet Facebooku? Ani milion dolarů, ani speciální techniku, ani extrémní znalosti. Stačí Android s rootem, Wi-Fi síť a pět sekund. Uvnitř video."
Bože, to je zas žvást.
Mozno si viac ludi nastavi ako default https:// protokol.
Mohol by si to rozviest? Ja som na to narazil, ale nevyznam sa v tom, pochopil som to tak, ze je to mozne len ak je utocnik na rovnakej IP.
Je teda potrebne pouzivat https vzdy alebo nie? Tiez poprosim o vysvetlenie.
Este som v nastaveniach FB narazil na tieto moznosti:
"Upozornenia na prihlásenie
When an unrecognized computer or device tries to access my account:
[ ] Chcem dostať e-mail
[ ] Chcem dostať textovú správu
Login ApprovalsLearn more about login approvals
When an unrecognized computer or device tries to access my account:
[ ] Require me to enter a security code sent to my phone"
Su tieto SMS spravy bezplatne?
Dakujem.
Pokud se připojuješ na FB přes veřejnou wifi, nastav si https. Osobně upřednostňuji https vždy - u všech služeb.
jak se to dela?
misto facebook.com napises facebook.com
boze muj
Nene, ono FB ma na to nastavovitko: vpravo hore Ucet > Nastavenia uctu > Bezpecnost uctu > Zmenit > zakliknut "Zabezpečené prehliadanie (HTTPS)". Hotovo.
Nevim jak tobe, ale me facebook.com funguje normalne i bez zaskrtavatka.
Detto, ale nefunguje to stale. Mne to aj po zadani https:// pri prihlaseni po case preslo na nezabezpecene http:// . To nastavenie je tam teda z nejakeho dovodu, zrejme z tohto - aby to https pouzilo vzdy aj bez nutnosti pripisovat "s".
V článku je návod, jak zapnout https na FB.
Navic u WPA2 sifrovane site proste neuvidis data ostatnich uzivatelu site, protoze WPA je dynamicky sifrovane, casem se meni sifrovaci klice a hlavne s kazdym klientem se vyjednava spojeni zvlast. Tedy krome broadcastu a multicastu data ostatnich uzivatelu site neuvidis.
Ale co v internetovych kaviarnach a kdekolvek v meste, v obchodnych centrach, kde nie je ziadne sifrovanie?
Udajne ma https aj nevyhody, mohol by to niekto prosim vysvetlit? Nepojdu napr. pomalsie flash hry? Pytam sa koli tomu ci to mam odporucit znamym alebo nie, nechcem aby ma potom otravovali ze im vsetk oide pomaly a pod.
Dakujem.
Https a flash hry nemají nic společné.
Neviem ako si to myslel, ale vyskusal som 2 nahodne hry a vyskocilo mi toto:
"Switch to regular connection (http)?
Sorry! We can't display this content while you're viewing Facebook over a secure connection (https).
Chcete dočasne prejsť na bežné pripojenie (HTTP), aby ste mohli použiť túto aplikáciu?
You will have a secure connection upon your next login."
Takze pre tych, ktori sa na FB 90% hraju, prip. popri tom aj chatuju, je to nepouzitelne.
In to myslel tak, ze pokud hrajes hry na FB, tak pro hry se pouzije HTTP ne HTTPS pripojeni. Takze v tomto pripade ti nastaveni zabezpecene komunikace na FB nepomuze. Pouzeva se totiz v pripadech, kdy je to mozne, ne vzdy.
Aha, tak to nechápu proč to mají tak dementně udělané... Já hry na FB nehraji. Ale obecně nemají flash hry a https nic společného.
nepouzivat free wifi a pouzivat internet v mobile. dnes to stoji snad 6eur mesacne.
u WPA2-PSK to funguje naprosto v pohodě... vyzkoušeno
Ako si to myslel, ze je to v pohode zabezpecene, alebo ze sa to da v pohode hacknut?
Dá se hacknout
Hehe, hlavně že je FB tak úžasně zabezpečený... opravdu geniální síť, jen co je pravda
Kto vas nuti pouzivat ju?
Pindat sa da na vsetko...
Ked mas X ludi na FB a mozes s nimi komunikovat zadarmo, budes s nimi komunikovat cez mobil? Tak 90% mojich znamych je len na FB. Pouzivat iste sluzby je dnes nutnostou - a to napr. aj spominany mobil, aj ked by sa to teoreticky dalo cez net, wifi zadarmo.
no vidíš, já odolávám.
jsme dva.
Ano budem s nimi komunikovat cez mobil! Dokonca pojdem k tym ludom aj na navstevu alebo s nimi na pivo alebo cokolvek ine, fuuu to je ale sila, co?
Pretoze som clovek a nie stativny robot priskrutkovany k podlahe s integrovanou klavesnicou.
P.S. FB konto mam ale len na to aby ma mohli najst stari znami s ktorymi uz nemam casty kontakt aby som sa s nimi potom mohol stretnut.
Toto vyznieva tak, ako by vsetci ktori maju FB boli na nom zavisli a nestretavali sa s ludmi nazivo, objednavali si kazdy den pizzu...
Ja som to myslel tak, ze ked mozem nieco vybavit zadarmo a rychlo, napr. aj stretnutie, tak preco by som mal platit gigantickym mobilnym operatorom, tie peniaze radsej pouzijem na svojich blizkych. Na dlhsie rozhovory je najlepsie osobne stretnutie, netvrdil som opak, ale ked chces hodinu hovorit s niekym s ineho kontinentu, tak to nie je mozne a ani mobil nie je idealne riesenie.
Neodsudzoval by som niekoho len preto ze ma FB ucet - nakoniec aj ty si sa k tomu priznal. Nie kazdy travi hodiny hranim FB hier a pridavanim sa do desiatok nezmyselnych skupin.
Este na obranu FB - raz vidiet je viac ako 100x pocut a to plati aj tu. Mozes niekomu volat kedy sa zastavi a nepride, ale ked das napr. nejake fotky z opekacky na FB, tak tie ho prehovoria. Opat je ale samozrejme mat na FB skutocnych priatelov, nie pridavat 10 ludi kazdy den.
Ked chcem hovorit s niekym z ineho kontinentu tak pouzijem bud pevnu linku (a to moze byt aj lacnejsie jak mobilny hovor v ramci SR
) alebo skype (ked zrovna ten uz-totalne-rozdrbany-moloch funguje). Nechapem naco mi je k tomu FB (IMHO totalne preplacany polonefunkcny nebezpecny web kde na cloveka vyskakuje nenormalne mnozstvo odpadu a totalnych nezmyslov). Jedina vyhoda FB je ze to vsetci poznaju tak ked niekoho hladaju tak tam. Keby FB nebol tak by na stejnu vec kludne stacil aj nejaky online dobrovolny zoznam ludi v textovom rezime 
ak by to kazdy poznal a vedel tam vyhladavat a pridat sa tam.
Vyskakuje na teba tolko odpadu, kolko mu dovolis. Ale samozrejme netvrdim ze FB je dokonaly, vobec, ale funguje a dokazuje to mnozstvo ludi ktori ho pouzivaju, nakoniec aj ty a ja.
Hej funguje ale tak ze ked pridavas nejake fotky do albumu tak je tam totalne chaoticky / neprehladne urobene nastavenie ze komu si to vlastne povolil vidiet a vobec im to nastavovanie nefunguje tak jak ma.
To jak to "funguje" dokazuju aj spravy furt ze niekto pozval na oslavu narodenin namiesto priatelov cely svet a prislo mu na narodky na navstevu tak 15tisic ludi, no ten mal radost. Je to nefunkcne totalne zle urobeny a neprehladny web, co sa tyka prevedenia ked to mam hodnotit ako uzivatel tak podla mna je to uplny odpad a IMHO kazdy druhy student ktory vie php by to urobil lepsie.
P.S. a moj nazor utvrdzuje aj fakt ze si to vlastne skoro nikto nevie nastavit aby to slo cez https
ja som z clanku pochopil, ze to nie je len o FB, ale o celej komunikacii bez sifrovania.
Ano na nesifrovanej WiFi odchytis akekolvek heslo alebo cokolvek co neni sifrovane (neni cez https), a je to tak odjakziva uz vyse 10rokov takze nechapem ze teraz niekto objavil teplu vodu. Odjakziva plati ze cez verejnu nesifrovanu WiFi nezadavat ziadne hesla ak to neni cez https (ani tuto heslo na poradnu :), a doma na routri mat nastavene sifrovanie WPA2 a neni problem.
Zaujimalo by ma ako to je pri pouzivani IM, napr. Trillian, je tam aj FB, aj FB chat.
Např. v síti ICQ se posílají data v plaintextu, takže pokud někdo bude odchytávat tvůj traffic, může si klidně číst, co posíláš. V QIPu jde zapnout podpora SSL i pro ICQ. FB chat by měl být šifrovaný, když je zapnouté https. Nechtěl by to někdo ověřit Etherealem?
EDIT: Aha, ty myslíš FB chat z IM klienta. Tak to nevím. Nedá se někde v tom Trillanu nastavit, aby k FB přistupoval přes https?
Nepřipojuje se na https, facebook chat je prachobyčejný JABBER, v podání FB je spojení šifrované.
Pokud je to XMPP, tak může být i nešifrovaný, ale pokud FB šifruje, tak super...
Ano ano, šifruje:
Odkial je ten screenshot?
Trillian umoznuje pouzitie FB chat pomocou dvoch pluginov, Facebook 5.0 a XMPP 5.0 (Jabber), ale nenasiel som tam sifrovanie. Pouzivam Trillian 5.0 Build 33 Free, anglicku verziu.
Pidgin IM, pouzivam ho, protoze jako jediny je schopen komunikovat i s IBM sametime protokolem
a je samozrejme multiplatformni
Aha, tak ja som nasiel v Trilliane pre XMPP moznost "use legacy SSL for connection", pre FB plugin nie, ale mam tam ako Hostname "chat.facebook.com", ak by som to prepisal na "https:/chat.facebook.com" fungovalo by to?
Ne, protokol je uplne jiny. Jinak "legacy SSL" je starsi, dnes temer nepouzivana moznost. XMPP by mel byt minimalne zkouset sifrovani uz v zakladu (pokud ho server umoznuje, tak bude vyuzito).
Pokud do toho chces stourat az tak, stahni si wireshark, odchytni si provoz pri zapinani trilianu a jestli v nem najdes heslo k FB v nesifrovane podobe, nebo ne.
jen dodám, že wireshark = ethereal
Ano, je to tak.. ethereal se uz skoro dva roky jmenuje wireshark.
Tak ak zapnem SSL pre XMPP, vobec nefunguje, neprihlasi, ale ak vypnem, tak wireshark pri spustani Trillianu heslo nenajde, ani skusobne poslany text, ak ho teda pouzivam spravne.
V tom pripade v poradku, jak jsem psal, XMPP je od zakladu vystaven tak, aby byl zabezpeceny (encryption if available), a FB toto sifrovani poskytuje, takze je pri spojeni vyuzivano.
Já teda Facebook chat přes Jabber spuštěnej v QIPu přes Wireshark rozluštil docela snadno. Zprávy jsem si vpohodě mohl číst.
Zajímá mě jedna věc - dokáže wireshark zachytávat i packety z jiných PC ve stejný síti? Narval jsem si Wireshark na Ubuntu na noťas a mobilem jsem zkoušel brouzdat. Jediná zmínka byla u protokolu ARP. Jinak to komunikaci nezachytilo. Dá se to nějak vůbec?
Ano, existuji na to techniky, ale nebudu je zde popisovat. V nesifrovanych, nebo WEP sifrovanych sitich to jde snadno, tam provoz, ktery vysila AP vidis kompletni. U WPA vyjednava AP sifrovaci klic s kazdym klientem zvlast, tam to naprimo nejde.
Jasný, chápu. Díky za nasměrování.
Ja v konverzaci s chat.facebook.com vidím pouze primární spojení, výměnu šifrovacích klíčů a pak už jen šifrovaný provoz.