Anfang der Woche hat @hessedabbisch auf einen Eintrag im Geeky Gadgets-Blog hingewiesen. Demnach gibt es seit kurzem eine Firefox-Extension, mit der man Benutzernamen und Passwörter ausspähen kann. Betroffen sind offenbar alle, die sich in einem offenen WLAN bewegen.
Das kann einerseits das WLAN des unvorsichtigen Nachbarn sein oder aber auch das offene Funknetz in einer Kneipe oder einem Restaurant. Programmierer Eric Butler beschreibt das Spionage-Plugin so:
As soon as anyone on the network visits an insecure website known to Firesheep, their name and photo will be displayed in the window. All you have to do is double click on their name and open sesame, you will be able to log into that user’s site with their credentials.
Laut Butler soll das über kurz oder lang die Sicherheit von Social Networks erhöhen. Nach seiner Meinung haben Dienste wie Facebook & Co. die Pflicht, ihre Nutzer vor unbefugtem Zugriff auf ihre Profile zu schützen, schon zu lange ignoriert. Die Extension werde einen größeren Bedarf nach sicheren Logins schaffen und so den unbedarften Nutzern helfen, dass dieser Bedarf nun bald befriedigt wird, so Butler weiter.
Das sind in meinen Augen höchstens Lippenbekenntnisse. Genauso wie Programme wie TweetAdder ausschließlich dazu geschaffen wurden, um Spammern und Multi-Level-Marketern ihr nerviges Wirken zu erleichtern, bietet Firesheep Trollen und anderen Idioten mit genug halbkrimineller Energie großartige Möglichkeiten. Denken wir nur mal an die neuen Möglichkeiten des Stalkings oder eben die Möglichkeit, durch eine simple
Änderung des Passworts einen Account komplett unbrauchbar zu machen. Eine weitere Anwendung wäre die systematische Kaperung von möglichst vielen Accounts, die dann für die Aussendung von Spam genutzt werden.
Ich sehe nicht, dass das irgendeinen anderen ernsthaften Zweck verfolgen könnte.
Zum Glück gibt es schon eine Möglichkeit, Firesheep das Wasser abzugraben: Die Firefox-Extension „Force-TLS“ erzwingt eine SSL-Verbindung zum Server beispielsweise von Twitter. So werden die Nutzerdaten für Firesheep unlesbar und können nicht missbraucht werden. Laut dem Geeky Gadgets-Blog bieten die meisten Social Networks grundsätzlich die Möglichkeit einer sicheren Verbindung, Amazon ist demnach der einzige Seitenbetreiber, der genau das nicht tut.
Trotzdem ist natürlich weiter Vorsicht geboten: Wer mit einem anderen Browser surft oder einen Twitterclient benutzt, der dürfte trotzdem Gefahr laufen, ausgespäht zu werden, wenn ein offenes WLAN genutzt wird.