Med et nyt plugin til Mozilla Firefox kan man logge sig ind på Facebook, Twitter eller andre sociale netværk under en fremmed identitet med ét enkelt klik. Den amerikanske programmør Eric Butler har udviklet plug-in'et Firesheep for at demonstrere den mangelfulde sikkerhed i åbne trådløse netværk.
Det er en kendt sag at data nemt kan opfanges i ukrypterede trådløse netværk og enhver person som befinder sig inden for netværkets rækkevidde kan således følge med, hvad de andre brugere foretager sig. Men indtil nu har det krævet specielle værktøjer og teknisk viden.
Firesheep gør det lettere end nogensinde før at hacke sig ind i fremmede folks konti. Plug-in'et installerer en side-bar i Firefox, hvor man kan se en liste over alle brugere, der er logget ind på forskellige sociale tjenester fra samme netværk.
I øjeblikket understøttes blandt andet Facebook, Twitter, Flickr, Amazon, Windows Live og Google.
Ved at klikke på en af brugerne kan man straks logge på tjenesten med den pågældende brugers identitet og alle rettigheder.
Firesheep forsøger ikke at aflure brugernes kodeord, men overtager i stedet den aktuelle session ved at opsnappe den cookie med session-data, som normalt overføres ukrypteret. De fleste tjenester sørger efterhånden for at kryptere selve login-processen, men herefter sendes cookien og websiderne uden kryptering, og det betyder at det er nemt at opfange dem.
For at beskytte mod denne form for afluring er det nødvendigt at kryptere hele webkommunikationen med HTTPS-protokollen. Man kan bruge en Firefox-udvidelse som HTTPS Everywhere, der automatisk skifter til kryptering hvis det er muligt. Men det er ikke alle tjenester, der understøtter HTTPS. En anden udvidelse med lignende funktionalitet er Force-TLS.
Eric Butler har ikke afsløret et nyt sikkerhedshul eller et ukendt problem, men hans program demonstrerer den usikkerhed, der er forbundet med åbne netværk og ukrypterede websider. Firesheep er gratis, open source og kører under Windows og Mac OS X.
