Firesheep漏洞——一种火狐浏览器扩展,可以让攻击者窥探Wi-Fi连接,收集网站用户名和会话id——为网络安全带来了一些有趣的问题。到目前为止,大多数焦点都集中在个人用户如何保护自己。但Firesheep的创建者试图让人们注意到,在流行的Web服务和Web页面上,加密支持有限或完全缺乏。
我们在我们的网站上有一些有价值的报道,我将在下面包括一些额外的链接。
PC World的Ian Paul下载了Firesheep插件给了它有限的试驾他的个人电脑和家用Wi-Fi路由器总的来说,它像承诺的那样工作……或威胁。Paul说,本质上,Firesheep是一个数据包嗅探器,它收集和分析未加密的Wi-Fi连接上的网络流量,连接Wi-Fi客户端和一个开放的接入点。当客户端开始登录Firesheep数据库中的26个网站中的任何一个(包括从Amazon、谷歌到Yahoo的所有网站)时,Firesheep代码会筛选并显示网站cookie中的特定信息,通常是用户名和会话ID号,但不包括密码。显然,这足以使攻击者劫持该会话,但显然,不包括完整的帐户或任何需要帐户密码的活动。
Firesheep的创建者,程序员Eric Butler有详细信息和屏幕截图在他的网站上.Firesheep的发布引发了一波评论和报道。周三上午8点左右,安全专家布鲁斯·施奈尔发表了一篇简短的博客引发了近40条评论下午4点。其中很多都包含了“你不明白”或“你没抓住重点”的变体。
在个人保护方面,你有很多选择。有些不是很吸引人:不要使用未加密的Wi-Fi网络。还有一些是长期存在的:使用虚拟专用网络创建加密隧道。这是企业笔记本电脑的标准做法,带有Wi-Fi的智能手机或平板电脑的标准做法也在增加。
对于消费者来说,现在有许多VPN服务,这些服务收取月费,通常在5-10美元之间。业务客户端的VPN代理连接到安全数据中心的VPN终结点。雷竞技电脑网站从那里,服务连接到被请求的Web站点或Web服务。
《计算机世界》的格雷格·凯泽说过一个后续的故事评估这些选项并探索一些安全影响。强大的VPN就是这样一种服务。TrustConnect科摩多安全服务公司(Comodo Security Services)的一名发言人也是如此。
也有免费的选择。电子前沿基金会创建了自己的Firefox扩展,HTTPS无处不在。当您浏览到使用HTTPS加密的网站时,EFF扩展重写所有对该网站的Web页面请求以使用加密。母亲Firefox扩展,Force-TLS,强制HTTPS在可用时作为默认连接。有两个缺点:微软ie和谷歌Chrome没有这些扩展;网站可能不实现HTTPS或只在首次登录时这样做。
Ian Paul注意到一个新兴的安全规范,来自IETF,称为HTTP严格传输安全(STS)。本质上,它是一种政策机制Web服务器可以使用它来指导传入的浏览器(也支持STS),从而只使用安全连接,如HTTPS。Chrome从第4版开始就支持STS,即将发布的Firefox 4也将支持STS。
与解释Firesheep相比,解释网络加密的例外和限制需要更长的时间。Butler的理论基础是真正的保护应该从网站本身开始,通过实现HTTPS并将其更全面地应用到客户端浏览器的所有流量。IETF的STS规范是一个重要的步骤,但它只能在给定的网站使用加密的情况下工作。
他在一篇博文中写道,“真正的故事不是Firesheep的成功,而是像.....这样的东西是可能的Firesheep成功的衡量标准将很快从它获得的关注数量转变为采用适当安全措施的站点数量。真正的成功是Firesheep不再工作的时候。”