De nieuwe Firefox add-on Firesheep werd afgelopen zondag het web op geslingerd door de webapplicatie-ontwikkelaar Eric Butler. Hiermee wil hij de aandacht vestigen op het gevaar van het bezoeken van niet versleutelde sites vanaf Wi-Fi hotspots.

Iedereen kan je horen schreeuwen

Het is weliswaar gangbaar om de login te encrypten met HTTPS of SSO, maar er zijn weinig sites die het verkeer zelf ook versleutelen. Die data wordt volgens Butler dan ook de ruimte in 'geschreeuwd' door cookies. “Dat maakt de cookie en dus de gebruiker kwetsbaar en het kapen van accounts is dan ook eenvoudig uit te voeren”, zo staat te lezen op Butler’s blog.

Met de cookie in de buidel, kan een snoodaard alles wat een gebruiker ook kan op een site. Een paar van de sites waarvan Firesheep de sessies kan kapen zijn Twitter, Facebook, Flickr, bit.ly, Google en Amazon.

Dus wat is er nog meer nieuw?

Richard Wang, manager bij beveiligingsbedrijf Sophoslabs zegt dat er niets nieuws aan deze kwetsbaarheid is, maar dat zo ongeveer elke debiele peer mensen kan afluisteren op hotspots met Firesheep. Hij hoopt dat de tool het gebruik van HTTPS doet toenemen.

Hapklare brokken

Firesheep bestaat uit een sidebar in Firefox die iedereen toont die in een open Wi-Fi netwerk zit, zoals je die vindt bij de lokale fastfoodketen of koffietent. Je hoeft alleen maar te dubbelklikken op de naam van een gebruiker en je bent ingelogd als hem of haar. Dat verklaart dan ook dat de tool zo populair is met op het moment van schrijven zo’n 130.000 downloads.

Volgens Butler hebben websites “de verantwoordelijkheid om de mensen die op hun diensten vertrouwen te verdedigen. Die verantwoordelijkheid hebben de sites veel te lang genegeerd en het wordt nu tijd dat we met z’n allen een veiliger web eisen. Mijn hoop is dat Firesheep de gebruikers zal helpen om die slag te winnen.”

Firesheep is gratis te downloaden voor de Windows en Mac OS X versies van Firefox. Butler werkt nu aan een Linux versie.

[UPDATE]

Een lezer van de TechCrunch website heeft een workaround ontdekt om te voorkomen dat wanneer je op een onbeveiligde Wi-Fi verbinding zit, je social media accounts worden overgenomen.

Facebook heeft ondertussen gereageerd op Firesheep. "We maken progressie in het testen van de SSL toegang voor Facebook en hopen deze optie de komende maanden te introduceren. Zoals altijd adviseren we mensen om goed uit te kijken met het verzenden of ontvangen van gevoelige informatie over een onbeveiligd Wi-Fi netwerk."

Bron: Techworld