"Ukradli jsme Facebook účet. S Androidem a za pět sekund"
"Co potřebuje hacker k proniknutí na cizí účet Facebooku? Ani milion dolarů, ani speciální techniku, ani extrémní znalosti. Stačí Android s rootem, Wi-Fi síť a pět sekund. Uvnitř video."
Hehe, hlavně že je FB tak úžasně zabezpečený... opravdu geniální síť, jen co je pravda
Kto vas nuti pouzivat ju?
Pindat sa da na vsetko...
Ked mas X ludi na FB a mozes s nimi komunikovat zadarmo, budes s nimi komunikovat cez mobil? Tak 90% mojich znamych je len na FB. Pouzivat iste sluzby je dnes nutnostou - a to napr. aj spominany mobil, aj ked by sa to teoreticky dalo cez net, wifi zadarmo.
no vidíš, já odolávám.
jsme dva.
Zaujimalo by ma ako to je pri pouzivani IM, napr. Trillian, je tam aj FB, aj FB chat.
Např. v síti ICQ se posílají data v plaintextu, takže pokud někdo bude odchytávat tvůj traffic, může si klidně číst, co posíláš. V QIPu jde zapnout podpora SSL i pro ICQ. FB chat by měl být šifrovaný, když je zapnouté https. Nechtěl by to někdo ověřit Etherealem?
EDIT: Aha, ty myslíš FB chat z IM klienta. Tak to nevím. Nedá se někde v tom Trillanu nastavit, aby k FB přistupoval přes https?
Nepřipojuje se na https, facebook chat je prachobyčejný JABBER, v podání FB je spojení šifrované.
Pokud je to XMPP, tak může být i nešifrovaný, ale pokud FB šifruje, tak super...
Ano ano, šifruje:
Odkial je ten screenshot?
Trillian umoznuje pouzitie FB chat pomocou dvoch pluginov, Facebook 5.0 a XMPP 5.0 (Jabber), ale nenasiel som tam sifrovanie. Pouzivam Trillian 5.0 Build 33 Free, anglicku verziu.
Pidgin IM, pouzivam ho, protoze jako jediny je schopen komunikovat i s IBM sametime protokolem
a je samozrejme multiplatformni
Aha, tak ja som nasiel v Trilliane pre XMPP moznost "use legacy SSL for connection", pre FB plugin nie, ale mam tam ako Hostname "chat.facebook.com", ak by som to prepisal na "https:/chat.facebook.com" fungovalo by to?
Ne, protokol je uplne jiny. Jinak "legacy SSL" je starsi, dnes temer nepouzivana moznost. XMPP by mel byt minimalne zkouset sifrovani uz v zakladu (pokud ho server umoznuje, tak bude vyuzito).
Pokud do toho chces stourat az tak, stahni si wireshark, odchytni si provoz pri zapinani trilianu a jestli v nem najdes heslo k FB v nesifrovane podobe, nebo ne.
jen dodám, že wireshark = ethereal
Ano, je to tak.. ethereal se uz skoro dva roky jmenuje wireshark.
Tak ak zapnem SSL pre XMPP, vobec nefunguje, neprihlasi, ale ak vypnem, tak wireshark pri spustani Trillianu heslo nenajde, ani skusobne poslany text, ak ho teda pouzivam spravne.
V tom pripade v poradku, jak jsem psal, XMPP je od zakladu vystaven tak, aby byl zabezpeceny (encryption if available), a FB toto sifrovani poskytuje, takze je pri spojeni vyuzivano.
Já teda Facebook chat přes Jabber spuštěnej v QIPu přes Wireshark rozluštil docela snadno. Zprávy jsem si vpohodě mohl číst.
Zajímá mě jedna věc - dokáže wireshark zachytávat i packety z jiných PC ve stejný síti? Narval jsem si Wireshark na Ubuntu na noťas a mobilem jsem zkoušel brouzdat. Jediná zmínka byla u protokolu ARP. Jinak to komunikaci nezachytilo. Dá se to nějak vůbec?
Ano, existuji na to techniky, ale nebudu je zde popisovat. V nesifrovanych, nebo WEP sifrovanych sitich to jde snadno, tam provoz, ktery vysila AP vidis kompletni. U WPA vyjednava AP sifrovaci klic s kazdym klientem zvlast, tam to naprimo nejde.
Jasný, chápu. Díky za nasměrování.
Ja v konverzaci s chat.facebook.com vidím pouze primární spojení, výměnu šifrovacích klíčů a pak už jen šifrovaný provoz.