Hos Microsofts postsystem Hotmail er der nu mulighed for at aktivere SSL-kryptering under hele den aktive session. Tidligere blev SSL-kryptering kun brugt til at beskytte udvekslingen af brugernavn og kodeord under log-in, mens resten af dataoverførslen skete uden kryptering. Men dermed er der risiko for, at hackere kan opfange data og få adgang til dine e-mails.
Microsoft fortæller om den nye full-session HTTPS kryptering i sin Firefox-udvidelsen Firesheep der har tvunget Microsoft til at reagere. Firesheep gør det muligt at overtage en aktiv session på Facebook, Hotmail eller andre tjenester med ét enkelt klik.
Programmet udnytter netop det faktum, at den såkaldte session-cookie sendes ukrypteret. De fleste tjenester sørger efterhånden for at kryptere selve login-processen, men herefter sendes cookien og websiderne uden kryptering, og det betyder at det er nemt at opfange dem.
Firesheep opfanger session-cookies fra brugere i samme trådløse netværk, men det kan også bruges i kablede netværk ved at anvende det såkaldte ARP-spoofing.
Problemet er ikke nyt – det har faktisk eksisteret lige så længe som cookies – men Firesheep viser, at det er utroligt let at overtage fremmede sessions og dermed aflure private data. Programmet er allerede downloadet mere end 700.000 gange.
Der findes også en anden Firefox-udvidelse, Blacksheep, som sender falske cookies ud på nettet og holder øje med, om nogen forsøger at opfange dem med Firesheep.
Det ventes at Facebook og andre populære internet-tjenester vil følge Microsofts eksempel og tilbyde fuld kryptering under hele session-forløbet. Hos Hotmail skal brugerne selv manuelt aktivere SSL/HTTPS.
Microsoft fortæller at SkyDrive, Docs, Photos og Devices under Windows Live også fremover bruger kryptering til alle data.
