Het verschijnen van de Firesheep tool voor het kapen van Twitter-accounts zorgde voor de nodige ophef, wie echter de Firefox plugin NoScript gebruikt hoeft zich geen zorgen te maken. Het probleem dat Firesheep blootlegt, is dat veel websites gebruikers wel via HTTPS laten inloggen, maar dat alle volgende sessies onversleuteld plaatsvinden. Op een onbeveiligd draadloos netwerk kan een aanvaller deze sessies kapen, en zo de accounts van de gebruiker overnemen.
Om dit te voorkomen moeten websites al het verkeer via HTTPS laten lopen, iets wat met NoScript al meer dan een jaar mogelijk is. Om 'HTTP session hijacking' te bestrijden, is HSTS (HTTP Strict Transport Security) ontworpen. "HSTS is echter een passieve beveiliging, omdat het een opt-in van websites vereist voor het versturen van een Strict-Transport-Security HTTP header, die de browser vraagt om automatisch alle volgende requests voor dezelfde site via een beveiligde verbinding te laten lopen, ongeacht of het via normaal HTTP was opgezet", zegt Giorgio Maone, de maker van NoScript.
De Italiaan zou het mooi vinden als alle websites die HTTPS ondersteunen, dit ook voor HSTS doen, maar dat is nog lang niet het geval. NoScript-gebruikers kunnen al twee jaar handmatig instellen welke websites over HTTPS moeten lopen. "Vanzelfsprekend vinden niet alle websites het fijn om HTTPS door hun strot geduwd te krijgen, dus moet je alleen die kiezen die al HTTPS ondersteunen, en nog steeds kan een klein aantal zich misdragen", aldus Maone. "Echter, je internetbankieren, webmail en addons.mozilla.org zijn waarschijnlijk fantastische kandidaten om nu al aan NoScript’s “force HTTPS” lijst toe te voegen."
Firefox 4
Inmiddels heeft ook Mozilla op alle commotie rond Firesheep gereageerd. Sid Stamm bevestigt dat HTTP Strict-Transport-Security inderdaad helpt om Facebook en Twitter cookies tegen een tool zoals Firesheep te beschermen. HSTS zal standaard in Firefox 4 zitten, maar vereist wel dat websites de Strict-Transport-Security HTTP header meesturen als ze een beveiligde inlogpagina tonen. Daarnaast moet men ook de rest van de website via HTTPS aanbieden. "Firefox doet de rest", merkt Stamm op.
Het gaat dan om het binnenhalen van de site over een beveiligde verbinding en voorkomen dat derden het onversleutelde verkeer kunnen zien. "We adviseren websitemakers om deze header te gebruiken om zo hun gebruikers te beschermen." Voor testers van de Firefox 4 bètaversie is er inmiddels een STS-UI uitbreiding, die geavanceerde gebruikers meer mogelijkheden geeft om hun verbinding te beveiligen.
Deze posting is gelocked. Reageren is niet meer mogelijk.