一名安全研究人员今天警告说,一款名为Firesheep的Firefox新插件可以让“几乎所有人”扫描Wi-Fi网络,并劫持他人访问Facebook、Twitter和其他服务的权限。
一位安全研究人员今天警告说,一个新的火狐插件可以让“几乎所有人”扫描Wi-Fi网络,并劫持其他人访问Facebook、Twitter和其他服务。
在10月22日至24日于加州圣地亚哥举行的ToorCon安全会议上,西雅图的自由网络应用开发者埃里克·巴特勒(Eric Butler)发布了这款名为“Firesheep”的插件。
巴特勒说,他创建Firesheep是为了显示从公共Wi-Fi点访问未加密网站的危险。
虽然网站使用HTTPS或SSL加密用户登录很常见,但很少加密实际流量。“这使得cookie和用户都很脆弱,”巴特勒在一篇发布到他的个人博客.“在一个开放的无线网络中,cookie基本上是通过空气传播的,这使得这些攻击非常容易。”
巴特勒指出,有了用户的cookie在手,罪犯就可以做用户在网站上可以做的任何事情。Firesheep可以劫持的网站有脸谱网,推特、Flickr、bit . ly、谷歌和亚马逊。
巴特勒没有回应周一的采访请求。
英国安全公司Sophos的研究部门sophoslab的美国经理王理查(Richard Wang)说:“这些都不是什么新鲜事,这个漏洞当然也不是。”“但Firesheep让人们很容易发现(未加密的流量和cookie),几乎任何人都可以用它来监听其他人在公共热点地区做什么。”
Firesheep在Mozilla的火狐浏览器上增加了一个边栏,当任何人在一个开放网络(如咖啡店的Wi-Fi网络)上访问一个不安全的网站时,它会显示出来。“双击某个人(在侧边栏),你就立刻以他的身份登录了,”巴特勒在他对这个附加组件的简短描述中说。
这个附加组件似乎不可抗拒:自从Butler在周日发布Firesheep以来,它已经被下载了近5万次。
Butler创建Firesheep是为了说明未加密网站和公共网络的广泛问题。他说:“网站有责任保护那些依赖其服务的人。”“他们忽视这一责任已经太久了,现在是每个人要求一个更安全的网络的时候了。”我希望Firesheep能够帮助用户获胜。”
Wang希望这个插件能促使更多的网站加密他们的会话。他说:“我们希望更多地使用HTTPS。”但他也敦促建立更多的公共网络,以确保用户的安全,尽管他承认,提供连接所需的密码的后勤工作将是令人生畏的。“这是老生常谈的‘安全与便利’的论点,”他指出。
Wang说,用户可以通过在开放网络中拒绝访问不安全的网站来保护自己,或者从技术角度来说,依靠一个安全的代理服务器来保护自己,可能是一个运行在他们工作机器上的代理服务器,他们的笔记本电脑可以反过来访问。
“但这对普通用户来说并不是一个解决方案,”王承认。
Firesheep可以兼容Windows和Mac OS X版本的Firefox下载免费来自GitHub网站。
Butler正在为Firefox的Linux版本开发Firesheep。
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这篇文章,“新的火狐插件劫持Facebook, Twitter会议”最初是由《计算机世界》 .