Firesheep

当你登录网站时，通常会先提交用户名和密码。服务器随后检查是否存在匹配的账户，如果存在，则向你返回一个“Cookie”，浏览器会用它来处理所有后续请求。
大多数网站都会对初始登录过程进行加密以保护你的密码，但令人惊讶的是，很少有网站对其他内容也进行加密。这使得 Cookie（以及用户）处于易受攻击状态。HTTP 会话劫持（有时称为“侧信”）是指攻击者获取了用户的 Cookie，从而能够执行该用户在特定网站上的任何操作。在开放的无线网络中，Cookie 几乎是公开广播的，使此类攻击变得极为容易。
这是一个广为人知的问题，已被反复讨论，但许多热门网站仍在未能有效保护用户。解决此问题的唯一有效方法是实现全程端到端加密，即网页中的 HTTPS 或 SSL。Facebook 不断推出新的“隐私”功能，试图平息不满用户的抱怨，但如果有人能完全接管账号，这些措施又有什么意义？Twitter 强制第三方开发者使用 OAuth，随即却发布并推广了一个不安全的新版网站。在用户隐私问题上，SSL 就是那个显而易见却无人正视的难题。
今天在 Toorcon 12 上，我宣布推出 Firesheep，这是一个 Firefox 扩展程序，旨在展示这一问题的严重性。
安装扩展后，你会看到一个新的侧边栏。连接到任意繁忙的开放 Wi-Fi 网络，点击巨大的“开始捕获”按钮，然后等待。