Facebooksessie afluisteren is kinderspel

De Facebook- en Twitteraccounts van medegebruikers van een open draadloos netwerk kapen is kinderspel met een nieuwe plug-in voor Firefox.

Met de extensie Firesheep waan je je een wolf in schaapskleren op elk openbaar netwerk. Zodra een medegebruiker inlogt op een van de vele websites die geen gebruik maken van SSL, word je onmiddellijk op de hoogte gebracht.

Een overzicht van alle personen en de onbeveiligde websites waarop ze zijn ingelogd wordt in een apart venster weergegeven. Het volstaat om een link en een naam te selecteren en je wordt automatisch ingelogd.

[related_article id=”158578″]

Flickr, Google, Dropbox…
Momenteel kun je gebruikers van onder meer Amazon.com, Dropbox, Facebook, Flickr, Google, Twitter en vele andere websites afluisteren. Firesheep kan bovendien naar eigen wens aangepast worden, aangezien ontwikkelaar Eric Butler de broncode vrij beschikbaar stelt.

De Amerikaanse programmeur wil met deze browserplug-in de onveiligheid van talloze websites aan de kaak stellen. Firesheep misbruikt het feit dat aanmeldgegevens doorgaans wel versleuteld worden in een sessiecookie, maar de rest vaak niet.

SSL-beveiliging
Indien je een dergelijke cookie kunt bemachtigen, wat niet moeilijk blijkt op een openbaar draadloos netwerk, is het voor ingewijden een koud kunstje om een HTTP-sessie te kapen. De enige oplossing is volgens Butler het gebruik van SSL-beveiliging (HTTPS).

Butler legt met zijn programma een verregaand veiligheidsrisico bloot. Wat maakt het uiteindelijk uit dat bijvoorbeeld Facebook de zoveelste aanpassing aan zijn beveiligingsbeleid doorvoert als je slechts een plug-in hoeft te installeren om iemands account over te nemen?

Firesheep voor Firefox is momenteel beschikbaar voor Windows en Mac OS X. Een versie voor Linux is in de maak. Dat schrijft TechCrunch.