http://www.bnext.com.tw/focus/view/cid/103/id/16382
撰文者:陳品先編譯發表日期:2010/10/26
你知道嗎?現在有一款名為Firesheep的Firefox擴充套件,能讓任何使用未加密WiFi網絡的網友,獲取幾乎每一個社群網站的使用者資料。這款應用程式在發佈一小時內,就被下載了超過1000次,且陸續有網友回報實驗成功,不過好險TechCrunch的一位讀者,也找到了能使它失效的另一個Firefox擴充套件Force-TLS。
根據Firesheep程式開發者Eric Butler在他的公告中指出,任何使用開放WiFi網絡造訪不安全網站的用戶,其姓名和照片將會被陳列在Firesheep視窗中,而網友只要用滑鼠雙擊欲侵入用戶的名字,便可輕易以他們的身分登入網站,這表示如果你用未加密WiFi上網,任何人都可輕鬆獲取你的一些最隱私且個人的資料,而且你根本不會發現,其原理在於如果這個網站不安全,那麼Firesheep便可藉由cookie(某些網站為了辨別使用者身份,而儲存在用戶端上的資料)持續追蹤用戶,並利用這些cookies讓網友假裝成其他用戶。
Firesheep使用圖示
事實上,幾乎所有的社群網站都不安全,光是Firesheep中預設的網站,就有Amazon.com、Basecamp、bit.ly、Cisco、 CNET、Dropbox、Enom、Evernote、Facebook、Flickr、Github、Google、HackerNews、 Harvest、Windows Live、NY Times、Pivotal Tracker、Slicehost、tumblr、Twitter、WordPress、Yahoo、及Yelp,而即使是不在這清單上的,任何人仍可創造自己的plugin外掛程式,因此不難想像其影響範圍有多大。
幸運的是,Firesheep能運作是因為,大多數網站都採用較快速的原始HTTP網路傳輸協議,而TechCrunch的一名熱心讀者,找到了另一款 Firefox擴充套件Force-TLS,可迫使這些網站使用HTTPS網路傳輸協議,因此使Firesheep無法察覺用戶cookies,藉此保護使用者登入資訊,並確保用戶登入社群網站時的安全連結,不過仍有部分像是Amazon.com等網站並不支援此安全選項,其他像是Facebook、 Twitter、和Google等主要網站,則是可允許HTTPS連結的。
Butler在他的公告中提到,他開發Firesheep的主要目的,在於披露出網站嚴重缺乏安全性的事實,希望能藉此讓這些網站警覺到,他們有保護用戶的責任,最終讓使用者受益。Facebook表示他們已在進行較安全的SSL測試,希望在未來幾個月內能提供成為另一傳輸選項,不過不論如何,用戶本身自己要注意,別隨意在未加密的WiFi上網,才能將此類資料外洩的傷害減到最小。
出自TechCrunch 1、2
出自華爾街日報