De nieuwe versie van HTTPS Everywhere is nu te downloaden bij de Electronic Frontier Foundation (EFF). De stichting zegt dat de nieuwe versie 0.9.0 specifiek verbeterd is om op te treden tegen de afluistertool Firesheep. Firesheep maakt het mogelijk accounts te kapen via Wi-Fi, maar ook via bedrade netwerken. Het doet dat door de cookies voor de ingelogde sessie 'af te luisteren'.

Onveilig surfen

Essentieel voor de werking van Firesheep, is dat de verbinding tussen het slachtoffer en diens webdiensten ofwel niet is versleuteld, of dat de versleuteling gekraakt is. Dit is bij WEP al jaren makkelijk te doen en ook bij opvolger WPA is dit mogelijk.

Gebruikers op Wi-Fi netwerken zonder (of met gekraakte) encryptie kunnen dus ten prooi vallen aan Firesheep, maar ook lokale bedrade netwerken (local area networks) zijn in potentie kwetsbaar. Het opzetten van een beveiligde verbinding middels https biedt bescherming, ook als het netwerk zelf niet is beveiligd.

Firesheep doet zijn werk dus (net als andere packetsniffers) ook op bedrade netwerken, maar vereist dan wel wat extra hackwerk. Een snoodaard moet dan het netwerkverkeer van de doel-pc zien te onderscheppen, wat kan via 'ARP spoofing'. Voor Wi-Fi netwerken is dat niet nodig vanwege de aard van de draadloze uitzendingen die (net als bij radio) door derden gewoon zijn op te vangen.

Extra stappen voor Facebook

HTTPS Everywhere is een plugin die websites dwingt om over te schakelen naar een https-verbinding. De nieuwe versie biedt betere bescherming voor Facebook-, Twitter- en Hotmail-accounts. Voor maximale bescherming van Facebook, 's werelds grootste sociale netwerk, zijn nog wel twee extra stappen nodig.

Gebruikers moeten handmatig een instelling van HTTPS Everywhere aanpassen, die default niet aanstaat omdat het de chatfunctie van Facebook dan uitschakelt. Deze ondersteunt namelijk geen https. Tot slot moeten gebruikers nog de aanvullende Firefox-extensie Adblock Plus installeren.

Bit.ly, Dropbox, Amazon-cloud

Daarnaast is volledig nieuwe bescherming toegevoegd voor url-verkorter Bit.ly, opslagdienst Dropbox, de AWS-clouddiensten van Amazon, source code-hostingplatform Github en voor netwerkleverancier Cisco. Voor die websites zijn specifieke instellingen (rules) opgenomen in de beveiligingsplugin. De EFF geeft ook tips voor webmasters om https correct te implementeren op hun sites.

HTTPS Everywhere is niet beschikbaar voor andere browsers dan Firefox. De EFF legt in de FAQ uit dat Chrome, Internet Explorer en Safari een benodigde functie missen. De ontwikkelaars van Chrome zouden echter wel interesse hebben om dit soort beveiligingsextensies mogelijk te maken.

Bron: Techworld