Een Amerikaanse ontwikkelaar heeft een Firefox-extensie gepubliceerd waarmee de login-informatie van wie zich op een onbeveiligd wifi-netwerk bij websites aanmeldt, kan worden opgevangen. Daarna kan met die gegevens worden ingelogd.
Ontwikkelaar Eric Butler heeft zijn extensie Firesheep gedoopt en biedt deze via zijn website ter download aan. Gebruikers die de extensie draaien, kunnen, terwijl ze op een onbeveiligd wifi-netwerk zitten, Firesheep al het in- en uitgaande netwerkverkeer laten scannen. Als andere gebruikers op dat netwerk op een website inloggen, herkent de extensie de verstuurde sessie-cookie en slaat deze vervolgens op. Met een enkele klik kan de cookie worden gebruikt om in te loggen en het account te kapen.
Firesheep werkt niet in alle situaties. Zo moet het wifi-netwerk vrij zijn van enige beveiliging als wep of wpa2. Het werkt ook niet als de website waarop wordt ingelogd gebruikmaakt van een versleutelde https-verbinding. Hoewel veel websites, zoals de sociale netwerken Facebook en Twitter, https-verbindingen accepteren, is dit niet de standaardoptie. Gebruikers moeten dit zelf forceren. Er zijn wel extensies voor Firefox beschikbaar die automatisch een https-login forceren, als de bezochte website die mogelijkheid biedt.
De voornaamste reden om de extensie te ontwikkelen was volgens Butler het falen van veel grote websites om secuur met de gegevens van hun gebruikers om te gaan. Hoewel volledige encryptie via https niet moeilijk te implementeren is, zijn er naar zijn mening nog veel te weinig sites die van die mogelijkheid gebruikmaken. Butler hoopt met de publicatie van Firesheep dergelijke sites te dwingen om hun beveiliging te herzien.
/i/1288008250.png?f=thumb)
/i/1288008257.png?f=thumb)
/i/1288008261.png?f=thumb)