Skip to main content

Kostenloses Tool zum Bekämpfen von Firesheep-Hackern

Viele Websites verwenden HTTPS, um ihre Kommunikation mit ihren Besuchern zu sichern. Das Protokoll verschlüsselt sowohl Anforderungen von einem Browser an eine Website als auch die von der Website angezeigten Seiten. "Ohne HTTPS sind Ihre Online-Lesegewohnheiten und -aktivitäten anfällig für Lauschangriffe, und Ihre Konten sind anfällig für Entführungen", erklärte die Organisation in einer Erklärung.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Das Problem ist, dass HTTPS nicht konsistent implementiert ist. Eine Site kann standardmäßig HTTP unsicher machen oder HTTPS- und HTTP-Referenzen auf derselben Seite mischen. Das EFF-Tool HTTPS Everywhere verwendet sorgfältig ausgearbeitete Regeln, um Websites von HTTP zu HTTPS zu wechseln.

Die heutige Version von HTTPS Everywhere, die von der EFF-Website heruntergeladen werden kann, enthält Verbesserungen, die speziell für Firesheep-inspirierte Angriffe entwickelt wurden. "Es wird einen langen Weg in Richtung des Schutzes Ihrer Facebook-, Twitter- oder Hotmail-Konten vor Firesheep-Hacks gehen", sagte EFF-Senior-Stabstechnologe Peter Eckersley. "Und wie frühere Versionen schirmt es Ihre Google-Suchanfragen vor Lauschern ab und sichert Ihre Zahlungen über PayPal ab."

Der Grund dafür, dass Firesheep so effektiv ist, liegt darin, dass viele Websites HTTPS nicht nutzen, so EFF Technology Director Chris Palmer. "Wir hoffen, dass es für Webanwendungen leichter wird, das Richtige für ihre Benutzer zu tun und uns vor Identitätsdiebstahl, Sicherheitsbedrohungen, Viren und anderen schlechten Dingen, die durch unsiches HTTP passieren können, sicherer zu machen", sagte er. "Ein bisschen Sorgfalt beim Schutz Ihrer Benutzer ist für Webanwendungsanbieter eine vernünftige Sache und eine gute Sache, die Benutzer fordern."

Firesheep erschien Ende letzten Monats. Es wurde von einem in Seattle ansässigen Softwareentwickler erstellt, der sagte, dass er die Firefox-Erweiterung erstellt habe, um die Sicherheitsrisiken im Zusammenhang mit Session-Hijacking zu demonstrieren. Sechsundzwanzig Online-Dienste werden von der Software ins Visier genommen, darunter Amazon, Facebook, Google, Twitter, Windows Live und Yahoo.

Die schelmische Software kann Datenverkehr auf ungeschützten WiFi-Netzwerken für die Kommunikation zwischen Computern im Netzwerk und Ziel-Websites "schnüffeln" . Wenn es eine solche Kommunikation entdeckt, versucht es Informationen, die in "Cookies" gespeichert sind, auf einem Computer zu stehlen. Diese Information kann den Benutzernamen und die Sitzungs-ID enthalten. Mit diesen Informationen ist es möglich, unbefugten Zugriff auf ein Konto zu erlangen und Aufgaben wie das Senden von E-Mails auszuführen. Da Passwörter normalerweise nicht in Cookies enthalten sind, ist es unwahrscheinlich, dass Firesheep für schändlichere Zwecke wie Kreditkartentransaktionen verwendet werden kann.