開發人員展示可綁架Facebook帳號的Firefox附加元件

一名網路應用程式開發人員Eric Butler在近日舉行的ToorCon安全會議上展示名為Firesheep的Firefox附加元件，他利用該程式從開放的Wi-Fi網路中搜尋利用該網路連結Facebook或Twitter等服務的流量，並挾持上述服務的執行功能。

Butler說明，當使用者以帳號及密碼登入網站時，伺服器會檢查相關資訊是否符合，若檢查無誤就會回應一個cookie讓使用者可以保持登入並進行活動，網站在使用者初期登入時透過加密保護密碼是非常普遍的行為，但加密其他部份就很少見，這讓cookie及使用者陷入風險。

因為當駭客取得使用者的cookie，就能挾持HTTP session，執行使用者在特定網站所能從事的任何行為，雖然這是個廣為人知的問題，但即使是非常有名的網站仍然坐視不管。

Butler指出，上述問題唯一有效的解決方案是全程採用HTTPS或SSL加密，否則就算Facebook不斷改善其隱私變功能，或是Twitter強迫所有開發人員都採用開放的OAuth身份認證標準，都可能讓駭客掌控完整的使用者權限。

在開放的Wi-Fi網路上使用Facebook或Twitter讓挾持該服務變得更容易。Butler在Firefox上安裝Firesheep後，就可在Wi-Fi網路上搜尋諸如Facebook或Twitter等不安全網站的流量，並展示使用者名稱及圖片，點選其中一名使用者，便能以該名使用者的身份在網站上活動。

Butler以開放源碼形式釋出Firesheep供使用者免費下載，該軟體支援Windows及Mac OS X，而且Butler還打算發表Linux版本，他強調網站有保護使用者的責任，但他們長期以來都忽略了該責任，希望藉由Firesheep可讓使用者獲得更安全的網路環境。（編譯/陳曉莉）