Опубликован
plug-in для
Mozilla Firefox, демонстрирующий возможность перехвата HTTP-сессий в открытых сетях
WiFi.
Создатель данного расширения,
Эрик Баттлер, еще раз дал возможность убедиться всем желающим - насколько могут быть уязвимы конфиденциальные данные во Всемирной паутине. Суть в том, что на целом ряде популярных сервисов шифрование траффика производится только в момент идентификации пользователя; а весь последующий сеанс проходит "в открытую", и защищен лишь идентификатором сеанса (session ID), который и является целью атаки, проводимой посредством
Firesheep.
Неполный перечень содержащих данную уязвимость web-ресурсов впечатляет -
Twitter, Facebook, Google, Flickr, Windows Live, bit.ly, Amazon.com, Enom, Slicehost, tumblr, WordPress, Evernote, CNET, Pivotal Tracker, Basecamp, HackerNews, Yahoo, Cisco, Yelp, Github, NY Times, Cisco, Dropbox...
Перевод фрагмента статьи:
После установки расширения - подключаемся к любой открытой сети
WiFi и нажимаем "
Start Capturing". Ждем:
Как только кто-либо из пользователей сети нанесет визит на тот или иной небезопасный сайт -
Firesheep покажет их имена и фотографии:
Двойной клик, и вы моментально входите в этот аккаунт:
Полный текст статьи (англ)
Firesheep is free, open source, and is available now for Mac OS X and Windows. Linux support is on the way.
Автор статьи подчеркивает, что его цель - сделать Интернет более безопасным, а также - обратить внимание владельцев крупных web-ресурсов на то обстоятельство, что они несут немалую долю ответственности за приватность информации своих пользователей.