PUBLIC MARKS with tags security & https

Ettercap is a comprehensive suite for leading man in the middle attacks.

Set-Cookie Secure, Set-Cookie HttpOnly, X-Content-Type-Options, X-Frame-Options, X-XSS-Protection

Présenté à la Toorcon et développé par Eric Butler, Firesheep est une extension pour Firefox qui permet de sniffer sur le réseau local, les sessions HTTP non chiffrées qui transitent sur le réseau, permettant ainsi aux petits malins d’accèder directement à vos comptes Google, Twitter, Facebook, Flickr, Amazon, bit.ly, Yahoo, WordPress,…etc sans avoir à se logger. Méfiance donc dans vos écoles et entreprises… La faute de tous ces sites qui ne sécurisent pas en HTTPS l’intégralité de leurs échanges, se contentant juste de chiffrer la partie de login, oubliant bêtement l’accès non chiffré au cookie. Mais pas de panique !!! Il est possible de vous protéger en forçant un chiffrement de A à Z de votre connexion avec ces sites web : Installer l’extension ForceTLS disponible chez Mozilla et pour Firefox. Après un peu de config pour spécifier quels sont les sites dont vous voulez forcer le passage en HTTPS, vous serez protégé !

Explication d'un problème de sécurité : un CA racine peut distribuer des certificats intermédiaires permettant aux organisations de substituer les certificats et déchiffrer le traffic HTTPS. La solution pour le détecter : utiliser des extensions comme CertPatrol.

Pour cela l’extension va contrôler la validité des certificats lors de la connexion à une page HTTPS. Lorsque Perspectives détecte un certificat auto-signé, une alerte est aussitôt émise afin d’éviter à l’internaute de saisir des données. Des pirates peuvent toutefois abuser des autorités de certification. Le plugin peut dans certains cas détecter ces malveillances ou des situations suspicieuses.

To move forward, we first need to acknowledge that the current HTTPS SSL mechanism is completely broken.

不能访问的网站可以加个"S"试试! 无奈啊! 逼着我安全!

sendandload HTTPS : If a non-HTTPS server serves the movie, but the movie downloads data from an HTTPS server - add the secure="false" attribute to your allow-access-from tag