報導：Mozilla無意防堵Firesheep

開發人員Eric Butler近日發表Firefox附加元件Firesheep，可以透過開放網路綁架其他使用者的Facebook及Twitter。不過，根據Computerworld報導，Mozilla似乎無意刪除該附加元件。

事實上Mozilla可以直接拒絕Firefox使用者安裝Firesheep或把Firesheep列入黑名單，但Mozilla並未祭出取締措施。Computerworld因此詢問Mozilla，Firefox總監Mike Beltzner僅輕描淡寫的表示，Firesheep展示許多受歡迎網站的安全漏洞，但並未攻擊任何瀏覽器或Firefox的漏洞。

Firesheep作者Butler認為自己只是在提醒網站，他們負有保護使用者的責任，應全程採用加密傳輸，但多數網站僅在登入時採用HTTPS，登入後的其他服務則未加密，才使得駭客有機會挾持HTTP session。Butler於本周日發表Firesheep迄今，已締造35萬的下載次數。

Mozilla安全研究人員Sid Stamm則在部落格中呼籲大家冷靜，表示只是Butler選擇使用Firefox的附加程式API，類似的工具也可寫成一獨立的程式，Firesheep的現身只是強調網站應該採用安全傳輸的重要性。

事實上，在Firesheep釋出後，馬上就有另一名開發人員Jonty Wareing起而效尤，發表了獨立的Idiocy程式，得以透過開放Wi-Fi網路竊取使用者的Twitter cookie，並以受害者的身份執行Twitter服務。Wareing表示，這是一個警告程式，在綁架受害者的Twitter後，他會在Twitter上張貼警告訊息，並附上一連結以說明此事的來龍去脈。

Stamm也指出，Mozilla已打算在Firefox 4.0中嵌入HTTP Strict-Transport-Security（HSTS）機制，可以確保其他人無法使用類似Firesheep的工具竊取使用者的Facebook或Twitter工具，而網站只要在安全的使用者登入頁面上設定HSTS標頭，然後讓網站的其他服務都透能過HTTPS傳輸，那麼Firefox就能處理其他的事，包括自動採用安全傳輸，以及防堵其他人檢視未加密的流量等。

HSTS將成為Firefox 4.0的預設功能，但Firefox 3.6用戶必須先安裝ForceTLS附加元件才能啟用該功能，但也要所造訪的網站配合採用該機制才行。（編譯/陳曉莉）