En el siguiente video se utiliza una nueva herramienta de seguridad llamada «Surf Jack» que demuestra una vulnerabilidad presente en una gran cantidad de sitios. La prueba de concepto muestra cómo es posible robar las cookies de sesión en sitios HTTP y HTTPS que no establecen cookies seguras.
Como ejemplo se realiza un ataque sobre Gmail y se enseña a prevenirlo gracias a una nueva opción del servicio que permite el cifrado completo de la sesión:
Surf Jacking Gmail demonstration from Sandro Gauci on Vimeo.
Como vemos un usuario malintencionado sólo necesitaría tener acceso a nuestro tráfico de red para efectuar el ataque.
Más información: Surf Jack – HTTPS will not save you
También te puede interesar:
Navegar seguro en una WiFi pública / Geekotic (lectura recomendada).