Extensão para Firefox expõe dados do usuário

A extensão para Firefox, Firesheep, permite que usuários roubem informações da conta de outros usuários que estejam conectados em websites não criptografados (HTTP) através de redes wi-fi inseguras. O Firesheep fornece os “cookies” que alguns websites como Facebook e Twitter utilizam para permitir o acesso ao site, permitindo aos malfeitores que tenham acesso rápido e fácil aos dados como login e senha.   Os cookies em um website são gerados quando você digita seu login e senha e o sistema verifica se os dados estão corretos. Ao constatar que estão, o site cria um cookie para aquele acesso para que seu browser possa atender às solicitações subseqüentes do site. 

O desenvolvedor da extensão, Eric Butler, explicou em seu blog que assim que alguém estiver na rede e visitar uma página insegura conhecida do Firesheep, seu nome e foto irão aparecer na janela. Então basta apenas clicar nos nomes e você poderá acessar aquele site utilizando os dados de outro usuário.

Butler também alegou que esta extensão para Firefox só está disponível para mostrar aos gerenciadores dos sites o quão vulnerável esse sistema é. Ele alega que é muito comum sites protegerem sua senha ao encriptar o login inicial, mas esse processo não é comum para o restante das informações. E os websites devem ser responsáveis pela proteção das pessoas que dependem de seus serviços. E é este tipo de atenção que Butler pretende adquirir com o Firesheep.

Cookies gerados pela Amazon.com, bit.ly, Cisco, CNET, Dropbox, Enom, Evernote, Facebook, Flickr, Github, Google, HackerNews, Harvest, Windows Live, NY Times, Pivotal Tracker, Slicehost, tumblr, Twitter, WordPress, Yahoo and Yelp são todas coletadas automaticamente, mas os programadores podem adicionar seus próprios plug-ins.

O Firesheep explora a mesma brecha que o Google estava utilizando com seus carros do Street View; porém, sites de segurança e redes não correm risco.

Uma opção para bloquear esse tipo de ataque, para quem utiliza o Firefox, é baixa e instalar o add-on Force-TLS , que transforma os domínios HTTP:// em HTTPS://, bloqueando o acesso do Firesheep. Basta baixar o complemento e configurá-lo com os sites que gostaria que se tornassem seguros.