Firefox-Add-on kapert Facebook-Sitzungen

Damit soll Firesheep das Problem mangelnder Verschlüsselung im Web verdeutlichen. Denn das Tool stiehlt laut Butler einfach Session-Cookies, die unverschlüsselt übertragen werden. Wer öffentliche Hotspots nutzt, ist stets dem Risiko solcher Angriffe ausgesetzt.

"Das eigentliche Sicherheitsproblem sind dabei offene WLANs. Dass unverschlüsselte Daten hier grundsätzlich von jedermann mitgelesen werden können, ist ansich bekannt", meint Tillmann Werner, Virus Analyst bei Kaspersky Lab, gegenüber pressetext. Dass ein Tool wie Firesheep quelloffen veröffentlicht wird, sei aber doch etwas kritisch zu sehen. Dabei will Butler nach eigenen Angaben nur User motivieren, mehr SSL-Verschlüsselung einzufordern.

Zwar nutzen viele Webangebote SSL für das Login. Doch schon das Session-Cookie, das von Services an den User zurückgeschickt wird, bleibt in vielen Fällen unverschlüsselt, so Butler. Das ist gerade in offenen WLAN-Netzen fatal, wo theoretisch jeder den Datenverkehr mitlesen kann. Genau darauf setzt das im Rahmen der Hackerkonferenz ToorCon von Butler und dem Security-Consultant Ian Gallagher vorgestellte Tool. Firesheep fängt in WLAN-Netzen unverschlüsselte Cookies ab. Der Nutzer kann somit in seinem Browser mit den Identitäten anderer User diverse Webdienste nutzen.

Die Zahl der Webangebote, die dank unverschlüsselter Cookies für ein solches "Session Hijacking" anfällig sind, ist den Experten zufolge lang. In der Dokumentation zu Firesheep führen sie unter anderem Amazon, Facebook, Flickr, Google und Twitter als Seiten an, deren Cookies mit Firesheep abgefangen werden können. Für weitere Dienste wie Blogger, eBay oder PayPal wird demnach an einer Unterstützung gearbeitet.