Mozilla zal geen 'kill-switch' activeren voor omstreden Firesheep-addon

Mozilla heeft geen plannen om de omstreden Firesheep-add-on voor Firefox onschadelijk te maken door de extensie aan een zwarte lijst toe te voegen. Met Firesheep kunnen sessie-cookies op onbeveiligde wifi-netwerken gekaapt worden.

De Firesheep-extensie is kort na zijn introductie bijna 320.000 maal binnengehaald. Met de addon wil ontwikkelaar Eric Butler aantonen dat het stelen van sessie-cookies van bijvoorbeeld Facebook-gebruikers op onversleutelde draadloze netwerken kinderspel is. Butler hoopt dan ook dat zijn 'hacktool' websites er toe zal aanzetten om https voor alle sessies te implementeren en standaard aan te bieden.

Mozilla stelt tegenover Computerworld dat het geen plannen heeft om de omstreden plugin op de zwarte lijst van Firefox te zetten. Via deze 'kill-switch' kunnen extensies op afstand uitgeschakeld worden. Mozilla plaatste deze zomer onder andere een add-on die wachtwoorden stal op de zwarte lijst.

Volgens Mozilla-directeur Mike Beltzner legt Firesheep juist een oud probleem van veel websites bloot en valt het niet een kwetsbaarheid in Firefox zelf aan. Beltzner stelt verder dat Firesheep geen door Mozilla goedgekeurde add-on is en ook niet op de Add-on Center-website van Mozilla is te vinden.

Om zich te wapenen tegen het stelen van sessie-cookies, raadt Beltzner gebruikers aan om de Force-TLS-extensie te installeren. Hierbij verzoekt de webbrowser een site om alle informatie via het https- of hsts-protocol te versleutelen. Een alternatief is het minder uitgebreide HTTPS-Everywhere. In Firefox 4.0, waarvan de release donderdag nog werd uitgesteld, zal het hsts-protocol standaard ondersteund worden.

Reacties (65)

ATS 28 oktober 2010 15:40

n Firefox 4.0, waarvan de release donderdag nog werd uitgesteld, zal het hsts-protocol standaard ondersteund worden.

Is het hsts protocol een nieuwe variant op https, of is er hier sprake van een typefout?

Gerco

@ATS • 28 oktober 2010 15:47

hsts is een uitbreiding op https waardoor browsers weten dat ze met een site die dat ondersteund nooit een http (zonder s) verbinding mogen maken. Voor meer info zie Strict Transport Security.

[Reactie gewijzigd door Gerco op 26 juli 2024 05:05]

Verwijderd @Gerco • 28 oktober 2010 19:08

Wat is daar dan precies het nut van? Ik kan toch ook gewoon op mijn webserver op alle http:// requests een antwoord terug geven dat de content te vinden is op https:// en niet "hier", waarna de browser het overeenkomende https://-adres opent en alles goedkomt?

killercow @Verwijderd • 29 oktober 2010 09:41

en hoe gaan clients zonder https mogelijkheden je site dan bezoeken?

Lye @ATS • 28 oktober 2010 15:51

hsts staat voor Hypertext Strict Transport Security (Staat ook in het artikel), verder ondersteunt Firefox al lang HTTPS dus het gaat hier wel degelijk om hsts.

Soldaatje 28 oktober 2010 15:23

Lijkt me logisch dat alleen extensies die schade aan de computer kunnen aanbrengen geweerd worden.

Verwijderd @Soldaatje • 28 oktober 2010 15:32

Maar dat is dus niet zo:

Volgens Mozilla-directeur Mike Beltzner legt Firesheep juist een oud probleem van veel websites bloot en valt het niet een kwetsbaarheid in Firefox zelf aan.

Blijkbaar worden alleen extensies die een kwetsbaarheid in Firefox zelf blootleggen geweerd. Het gaat dus eerder om het beschermen van het imago van Firefox dan om het beschermen van de veiligheid van Mozilla's gebruikers.

Verwijderd @Verwijderd • 28 oktober 2010 15:40

Nee, de veiligheid van mozilla's gebruikers komt niet in het geding door deze extensie...
De session-cookies die je hiermee kan onderscheppen kan je immers ook uit IE halen oid.
Het gaat erom dat je hiermee dingen van derden kan bekijken die de beveiliging van je browser an sich niet beïnvloed.
Dat je session cookies zomaar te lezen zijn, omdat je op een niet-beveiligd netwerk zit is je eigen verantwoordelijkheid.

Die sites hoeven niet eens persé encrypted te worden, alle wifi netwerken moeten beveiligd worden

Verwijderd @Verwijderd • 28 oktober 2010 15:46

De session-cookies die je hiermee kan onderscheppen kan je immers ook uit IE halen oid.

Klopt, óók uit IE. En dus óók uit Firefox. Waarmee de veiligheid van die Firefox-gebruikers dus in gevaar komt.

Waar hier de schuld ligt, bij de websites, bij de eigenaren van Wifi-netwerken of bij wie dan ook zal me een zorg zijn. Waar ik me aan stoor is de redenatie van Mozilla dat de veiligheid van gebruikers schijnbaar alleen beschermd dient te worden als het een lek in Firefox blootlegt.

Soldaatje @Verwijderd • 28 oktober 2010 15:52

Afgezien van het feit dat je zonder extensie niet zomaar session-cookies met IE van het netwerk kan plukken maar dat je daar een netwerksniffer voor nodig hebt zoals etherreal, deze extensie heeft dat dus ingebouwd, blijkbaar vinden mensen dat handig.
Het enige probleem van deze extensie is dat er illegale dingen mee gedaan kunnen worden, maar zoals gezegd is dat ook met normale sniffers het geval, dit is simpelweg de intergratie van een sniffer in een browser.
Als Mozilla deze extensie zou verbieden geven ze het signaal af "wij lossen het probleem niet op maar vegen het onder de mat" de verantwoordelijkheid ligt simpelweg geheel bij de websites.

Inny @Verwijderd • 28 oktober 2010 15:57

Omdat jij je voordeur open laat staan, of dat nou bedoeld of onbedoeld is, moet de woningbouwvereniging/gemeente/overheid het mensen onmogelijk maken je huis binnen te gaan? Nee dat is logisch...

Het is zaak voor Mozilla dat zij HUN gebruikers beschermen bij het gebruik van hun software. En dat doen ze schijnbaar. Prima toch?

[Reactie gewijzigd door Inny op 26 juli 2024 05:05]

Dreamvoid @Inny • 28 oktober 2010 18:21

Je kan t ook zien alsof de woningbouwvereniging naast je flat een cafe opent voor de inbrekersclub.

(aka, real-world analogieen zijn niet altijd even zinvol)

Soldaatje @Verwijderd • 28 oktober 2010 15:36

Deze extensie tast de veiligheid van Firefox gebruikers niet aan!

Inny @Verwijderd • 28 oktober 2010 15:44

Het gaat om het beschermen van de integriteit van Firefox als browser. Wat je er verder mee doet is je eigen zaak en verantwoordelijkheid. Zo hoort het.

Cafe Del Mar

28 oktober 2010 15:19

Voor Chrome zijn er ook plugins om, als de website het ondersteunt, HTTPS te gebruiken ipv HTTP.
In dat licht vind ik het uitbrengen van die FireSheep best wel goed. Hoe zou je anders bedrijven/websites kunnen aansporen om meer HTTPS te gaan gebruiken? Misschien dat er nu ook meer gebruikers op gaan beginnen letten?

hellbringer @Cafe Del Mar • 28 oktober 2010 15:22

Zoals tweakers.net? Want volgens mij kun je middels FireSheep ook deze site's beveiliging 'omzeilen'.

Zie ook deze podcast met Leo Laporte en Steve Gibson (je weet wel die van Spinrite en DNSbechmark) over FireSheep: http://twit.tv/sn (aflevering 272)

edit: ik zeg inderdaad 'omzeilen' (met aanhalingstekens) omdat het niet echt omzeilen is maar de cookie onderscheppen en daarmee jezelf voordoen als degene die ingelogd is.
De cookie die Tweakers.net gebruikt kun je WEL onderscheppen, je login gaat via SSL wordt 'versleuteld' maar de cookie mag via 'Any type of connection' opgevraagd/heen en weer gezonden worden.
Het is dus WEL om websites die onveilig zijn omdat ze deze cookie niet instellen om ALLEEN via SSL verzonden te mogen worden. (vergelijk o.a. PayPal cookies met die van t.net)

Tevens kun je koffiehuizen / Mac / etc met gratis internet WEL beveiligen maar dan zul je wel WPA moeten gebruiken met een algemene WPA code die je ergens bekend maakt op een groot bord oid.
WPA gebruikt namelijk een z.g.n. session-key om verbindingen per aangesloten apparaat te scheiden, hierdoor zit je dus niet allemaal op dezelfde verbinding maar heeft iedere gebruiker nog een eigen 'persoonlijke' sleutel en blijft het verkeer dus gescheiden.

[Reactie gewijzigd door hellbringer op 26 juli 2024 05:05]

Olaf van der Spek @hellbringer • 28 oktober 2010 15:36

Zoals tweakers.net? Want volgens mij kun je middels FireSheep ook deze site's beveiliging 'omzeilen'.

Tweakers.net is zelf kwetsbaar AFAIK...

Nee, met FireSheep kun je geen SSL verkeer onderscheppen.

Stoney3K

Hackers
Internet

@Olaf van der Spek • 28 oktober 2010 16:30

[...]

Tweakers.net is zelf kwetsbaar AFAIK...
Nee, met FireSheep kun je geen SSL verkeer onderscheppen.

Ik geloof niet dat er tools zijn waarmee je wél SSL-verkeer kan onderscheppen. Dat zou immers het principe van SSL een beetje ondermijnen en dan hadden ze wel iets nieuws verzonnen.

Supremo @Stoney3K • 28 oktober 2010 16:57

Je kunt SSL verkeer wel degelijk onderscheppen, maar omdat het encrypted is kun je er niet zo snel iets mee.

Drexz @Supremo • 29 oktober 2010 10:04

Precies!

Verder is het ook vaak een probleem dat site's redirecten van http naar https maar voor het redirecten al wel cookies versturen. Cookie secure flag wordt (te) vaak niet aangezet.

A server can specify the secure flag while setting a cookie; the browser will then send it only over a secure channel, such as an SSL connection.

roy-t @hellbringer • 28 oktober 2010 15:38

Het gaat hier helemaal niet om onveilige websites.

FireSheep zorgt er voor dat je cookies e.d. kunt stelen op onbeveiligde draadloze netwerken. That's it. Big deal, dat kon al jaren.

HTTPS gebruike op websites is dan een oplossing. Of gewoon je WLAN is goed instellen. (Sowieso is het aantal onbeveiligde draadloze netwerken de laatste tijd al aanzienlijk gedaald).

Bedraad is er weinig aan de hand, een session hijack op deze manier is dan veel moeilijker. Tuurlijk is het nog veilger met HTTPS. Maar de hele heisa om deze plug-in is een beetje overdreven.

V_J @roy-t • 28 oktober 2010 15:52

Veel koffie huizen die gratis internet aanbieden gebruiken onbeveiligde netwerken. Het is vooral die zwakte die FireSheep will tonen. Als je van die netwerken gebruik maakt, loop je wel risico zonder maatregelen. WLAN instellen is dan geen optie.

Stoney3K

Hackers
Internet

@Cafe Del Mar • 28 oktober 2010 16:29

Voor Chrome zijn er ook plugins om, als de website het ondersteunt, HTTPS te gebruiken ipv HTTP.

Het probleem van 'beveiliging' begint dan ook steeds minder een gebruikersprobleem te worden en meer een probleem aan de kant van de aanbieders. Genoeg browsers die nu al standaard HTTPS-sessies opbouwen en de gebruiker waarschuwen als er op HTTP moet worden teruggevallen.

Als websites geen HTTPS aanbieden, dan kan een gebruiker er ook weinig aan doen. Die wil immers alleen zijn favoriete Facebook-pagina kunnen blijven zien, en zich geen zorgen hoeven maken om alle technische voodoo die erachter zit.

IStealYourGun @Stoney3K • 28 oktober 2010 17:10

Een certificaat is niet goedkoop en gevoelig voor misbruik. Het is meer dan alleen een variabel op 1 te zetten op de servers. Er komen bij certificaten danook veel werk, tijd en voornamelijk geld bij kijken. Voor een website zoals tweakers.net is dat geen enkel probleem. Maar voor een kleine community is dat gewoon onmogelijk, ondanks dat die ook gevoelig zijn.

En dan heb ik het nog niet eens over de kostprijs voor zo een community, maar ook de infrastructuur, want niet vergeten dat zo een certificaat maar aan één ip word gelinkt en dat lukt dus al niet onder shared hosting.

? ? @IStealYourGun • 28 oktober 2010 21:52

€36 op Godaddy.com enz. Perfecte SSL verbinding met uniek IP. Configuratie: 0,00. En je hebt steeds kortingscodes zodat je eigenlijk maar $20 hoeft te betalen.

rblon @? ? • 29 oktober 2010 11:53

configuratie 0,00? Meestal moet je toch wel een paar dingen instellen op de webserver...
Verder kan je met een standaard certificaat ook maar 1 SSL domein hosten op dat IP adres.

twi$ted @IStealYourGun • 29 oktober 2010 08:49

nog goedkoper: startssl

helemaal GRATIS... basis klasse 1 certificaat, ik gebruik 't voor mijn site nu al 2 jaar en 't werkt uitstekend!

aKeY @IStealYourGun • 29 oktober 2010 12:42

Meerdere ip's aan een sharedhosting account koppelen is mogelijk, dus daarna een SSL certificaat installeren is ook mogelijk. (deze setup beheer ik momenteel 2 jaar met volledige tevredenheid)

rblon @aKeY • 29 oktober 2010 18:42

Ja maar dan moet je dus wel meerdere ip's hebben. En die kosten geld (voor grote websites is dat geen argument, voor kleine sites wel)

serkoon @rblon • 2 november 2010 14:47

In principe geldt dat niet meer, dat je maar 1 certificaat per IP-adres kunt gebruiken. Via de `server_name' extensie in SSLv3(?)/TLS kan een client de gebruikte hostname doorgeven aan de site tijdens het opbouwen van de TLS-verbinding. De webserver kan dan dus al het bijbehorende certificaat aanbieden. Een beetje moderne browser met moderne SSL-libraries en moderne webservers ondersteunen dit

Verwijderd @Cafe Del Mar • 28 oktober 2010 15:27

"Volgens Mozilla-directeur Mike Beltzner legt Firesheep juist een oud probleem van veel websites bloot en valt het niet een kwetsbaarheid in Firefox zelf aan. Beltzner stelt verder dat Firesheep geen door Mozilla goedgekeurde add-on is en ook niet op de Add-on Center-website van Mozilla is te vinden"
Alleen vervelend voor Mozilla dat het schaap aan hun naam is gekoppeld. Niet al te goeie media aandacht lijkt me...

Kevinp @Verwijderd • 28 oktober 2010 15:36

Een typisch geval van don't shoot the mesenger

Xthemes.us 28 oktober 2010 15:37

Tja, het is nou niet bepaald onmogelijk zonder deze add-on pecies hetzelfde te doen. Deze versimpelt de stappen echter dusdanig dat iedereen het kan in plaats van een aantal 'echte' hackers.

Ben wel benieuwd naar hoe effectief zo'n "blacklist" is tegen een programma wat mensen zelf willen hebben, lijkt mij namelijk volkomen nutteloos. Dit zal waarschijnlijk gewoon op basis van de extensie naam gaan, of misschien op een combinatie van een aantal waarden.
Schrijf een scriptje aan de serverkant die een random naam genereerd in de benodigde bestanden, zip de boel in, hernoem de zip naar .xpi en bied de boel aan bij de bezoeker, lijkt mij dus iets wat binnen een uurtje serverside scripten bij het aanbieden van de extension volledig te omzeilen valt.

Voor het doel om snel een extension te disablen waarbij iets mis is (zoals het stelen van je wachtwoord) is dat natuurlijk wel prima geschikt, maar als mensen het zelf willen installeren lijkt me dat er voor Mozilla weinig te doen is (en gelukkig maar). Extensions zijn immers niet beperkt tot een enkele bron zoals bij de AppStore van een zekere telefoon

Soldaatje @Xthemes.us • 28 oktober 2010 15:40

Tuurlijk valt het te omzeilen, maar dat is niet zo makkelijk dat je zomaar schadelijke extensies kan installeren, dan ben je dus bewust stom bezig!

Maurits van Baerle

Browsers

28 oktober 2010 15:19

Terecht. Het is alleen maar goed dat onveilige websites hierdoor aan de kaak gesteld worden. Tenslotte zijn zij het die het hun eigen kwetsbaarheid moeten oplossen, niet Mozilla.

LockTar 28 oktober 2010 15:27

Ik vind het wel goed dat het niet wordt geblokt.
Wat ik alleen beetje jammer vind is dat als ik bijvoorbeeld https://www.facebook.com invul ik netjes via https verbinding maak. Zodra ik dan ben ingelogd en klik op het facebook logo om bijvoorbeeld van een profiel naar de status overzicht lijst te gaan is het ineens geen https meer. Het groene slotje in Chrome is dan weer weg. Ik neem dus aan (verbeter me als het onjuist is) dat ik daarna dus niet meer over https ga maar weer gewoon over http

Verwijderd 28 oktober 2010 17:13

Het zal *** eens tijd worden dat websites eens goed omgaan met security. Laat ze het maar eens goed voelen. Dat zieke lakse onwetende gedrag. Bah, om te kotsen.

HansvDr 28 oktober 2010 17:27

Gisteren even getest.

Op Internet Explorer inloggen op google, op Firefox kon ik meteen deze sessie overnemen.

Nog niet getest op een gedeeld netwerk.

Bombtrack 28 oktober 2010 15:23

Over HTTPS gesproken: Ik kreeg laatst in Chrome, op de site van gmail zelf, die altijd op HTTPS werkt een rood slotje met de beschrijving dat niet alles beveiligd was. Heeft iemand enig idee waarom niet? Was google's beveiligde verbinding gewoon even verstrooid?
Nu is wel weer steeds groen en is het gewoon beveiligd via HTTPS.
Ik vraag me dan ook af of het google's schuld was of mischien malware op de pc?

Verwijderd @Bombtrack • 28 oktober 2010 15:30

De meest voorkomende reden van een "breach" is het gebruik van onbeveiligde content (dus een afbeelding vanaf een HTTP omgeving op een HTTPS omgeving).

Het kan zijn dat er ergens op gmail een afbeelding of iframe niet goed stond en per ongeluk van een HTTP variant werd gehaald. Niets om je zorgen over te maken (in de meeste gevallen dan).

Stoney3K

Hackers
Internet

@Verwijderd • 28 oktober 2010 16:33

Het kan zijn dat er ergens op gmail een afbeelding of iframe niet goed stond en per ongeluk van een HTTP variant werd gehaald. Niets om je zorgen over te maken (in de meeste gevallen dan).

In de meeste situaties gaat het dan om banners of andere vormen van reclame. Voor een reclamebureau is het namelijk nogal veel moeite om al hun advertenties achter een HTTPS-lijn te gaan zetten.

Bombtrack @Verwijderd • 28 oktober 2010 15:31

Ah, dat zou goed mogelijk zijn - als mijn geheugen me bijstaat was ik toen ook aan het kijken naar hele oude emails die geimporteerd waren van mijn vroegere hotmail account.
Bedank voor de reactie

Ruuddie @Bombtrack • 28 oktober 2010 15:31

Waarschijnlijk opende je een email met plaatjes. Die plaatjes komen niet van een HTTPS site af, waardoor je niet volledige site protected is.

coretx 28 oktober 2010 15:31

Ik begrijp al dat gedoe om Firesheep niet.

Midden jaren 90 deden we dit al met ettercap en andere tools.

SED @coretx • 28 oktober 2010 16:21

Het probleem is niet wat firesheep doet, maar de wijze waarop. Iedereen kan op deze wijze zonder enige kennis accounts bij elkaar harken. Even een kopje koffie drinken op het leidseplein en je hebt meer accounts dan je in een dag kunt bekijken.
Geen kennis nodig, gewoon wachten totdat ze netjes gesorteerd verschijnen. Dat maakt de drempel wel erg laag!

Stoney3K

Hackers
Internet

@SED • 28 oktober 2010 16:35

Het probleem is niet wat firesheep doet, maar de wijze waarop. Iedereen kan op deze wijze zonder enige kennis accounts bij elkaar harken. Even een kopje koffie drinken op het leidseplein en je hebt meer accounts dan je in een dag kunt bekijken.
Geen kennis nodig, gewoon wachten totdat ze netjes gesorteerd verschijnen. Dat maakt de drempel wel erg laag!

Hadden we dat probleem niet 5 jaar geleden ook met Network Stumbler en Aircrack-NG voor het wardriven en kraken van WiFi-netwerken? De-CSS voor het decrypten van DVD- en Blu-Ray schijven?

Het feit dat er een tool bestaat die op een toegankelijke manier een beveiliging ondermijnt moet geen reden zijn om het hele lek maar onder tafel te schuiven door de tool te blokkeren/verbieden.

Dreamvoid @Stoney3K • 28 oktober 2010 18:22

Maar ook geen excuus om het die tools maar makkelijk te maken.

Verwijderd @Dreamvoid • 28 oktober 2010 20:44

waarom niet? zo blijft het daadwerkelijke probleem tenminste onder de aandacht!

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (65)

Sorteer op:

Weergave: