Mozilla:没有Firesheep插件的“终止开关”

它不会——或者不能——从Firefox中删除会话劫持插件

高级记者,《计算机世界》 |

Mozilla今天表示,它不会——也不能——按下“终止开关”来禁用Firesheep插件,该插件允许任何人窃取Facebook、Twitter和其他主要网络服务的登录和账户访问信息。

Firesheep在Mozilla的火狐浏览器上增加了一个侧边栏,当任何人在一个开放网络(例如咖啡店的Wi-Fi网络)上访问一个包含微博服务的列表上的任何不安全网站时,它会显示出来推特和广受欢迎的脸谱网社交网站。

Mozilla有一个“屏蔽列表”机制,它可以,并且在过去,作为对潜在危险的浏览器插件的最后手段。该阻止列表会自动削弱或卸载已添加到Firefox的不需要的扩展。

但是Mozilla不能也不愿将Firesheep加入黑名单。

“(Firesheep)显示了许多流行网站的安全漏洞,但没有利用火狐或其他网络浏览器的任何漏洞,”火狐主管迈克•贝尔茨纳(Mike Beltzner)在一封电子邮件中回答有关Mozilla可能采取的行动的问题时说。

对于Mozilla在技术上是否能够削弱Firesheep,或者只是选择不这样做,Beltzner没有回应。

正如Beltzner指出的那样,Firesheep并不是官方认可的火狐插件,而是“由第三方开发人员创建和发布的”。

大多数Firefox插件都是用户从浏览器获取的扩展中心,上面有经过mozilla审核的扩展。

在早先的例子中,当Mozilla发布屏蔽列表“死亡开关”卡时,它是针对公司之前批准的、但后来发现窃取信息或传播恶意软件的插件。例如,在七月,它猛拉一个密码窃取扩展一个多月前,Firefox的图库中就已经有了这些信息。

这个名为“Mozilla Sniffer”的插件包含代码,可以拦截提交到任何站点的登录数据,然后将该信息发送到远程服务器。Firesheep也做了一些类似的工作,但除了工具的用户外,它不会向任何人显示它发现的内容。

2008年5月,Mozilla承认Firefox的越南语插件中有一个蠕虫病毒潜伏了好几个月。去年2月,Mozilla警告用户Sothink Web Video Downloader 4.0和所有版本的Master Filer都是如此感染了特洛伊木马病毒

和Mozilla Sniffer一样,Firefox插件中心也提供了这些插件。

事实证明,火羊非常受欢迎。自上周日上线以来,该插件已被下载近32万次,平均每天约有7.9万次下载。这使得它与火狐最受欢迎的插件Adblock Plus相差无几,Adblock Plus在其使用期间的平均日下载量刚刚超过8万次。

杀毒软件供应商Sophos的高级安全顾问Chet Wisniewski表示,根据美国法律,使用Firesheep可能属于刑事犯罪。“(Firesheep)不违法,但在美国使用这个工具是犯罪,”他说。“这将被视为窃听。你可以在自己的网络上玩,用于研究,但不能侵犯他人的隐私。”

Wisniewski说,在测试这个工具时,他很小心,只在自己的无线网络上使用。

然而,Wisniewski的分析可能站不住脚。根据联邦窃听的律例在美国,“拦截或访问通过配置为公众可以轻易获取的电子通信系统进行的电子通信”并不违法。

在谷歌使用街景车从不安全的Wi-Fi网络获取信息的过程中,谷歌引用法令声称它没有违法。

当时有些人不同意谷歌。在6月份发表的一篇文章中安全威胁电子隐私信息中心(Electronic Privacy Information Center)执行主任马克·罗滕伯格(Marc Rotenberg)说,他认为谷歌的行为相当于窃听,并要求联邦通信委员会(FCC)进行调查。

Rotenberg没有立即回复记者关于Firesheep的评论请求,以及其数据包嗅探活动是否同样违法。

Firesheep的创始人埃里克·巴特勒(Eric Butler)为发布该插件进行了辩护,他说,其他人对该工具暴露的网站不安全的警告被忽视了。“(网站)忽视这一责任的时间太长了,现在是每个人要求一个更安全的网络的时候了,”Butler在一份博客在周日。“我希望Firesheep能够帮助用户获胜。”

巴特勒和他的同事伊恩·加拉格尔(Ian Gallagher)在上周末的ToorCon安全会议上主持了Firesheep的演讲,他们拒绝了《计算机世界》的采访请求。相反,加拉格尔在周二的一封电子邮件中说,他们计划使用巴特勒的博客来回答媒体的询问。

Mozilla的Beltzner建议火狐用户可以通过安装来保护自己免受Firesheep的窥探和劫持Force-TLS强制浏览器在访问某些站点时使用加密的HSTS (HTTP Strict Transport Security)连接。

“Mozilla建议网站开始支持HSTS,这在Firefox 4中是默认支持的,”Beltzner补充道。

周二,安全专家提供了其他几种策略防止Firesheep窥探

Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com

阅读更多关于安全性的信息在计算机世界的安全主题中心。

这篇文章,“Mozilla:对于Firesheep插件没有‘kill switch’”最初是由《计算机世界》

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对自己最关心的话题发表评论。
相关:

资深记者Gregg Keizer为Computerworld报道Windows, Office,苹果/企业,网络浏览器和网络应用。

版权所有©2010 IDG ComRaybet2munications, Inc.

SD-WAN买家指南:向供应商(和您自己)提出的关键问题