• Thứ Tư, 27/10/2010 10:18 (GMT+7)

    Add-on Firefox mới chiếm các phiên truy cập Facebook, Twitter

    Bạch Đình Vinh
    Firesheep, một add-on Firefox mới, cho phép "nhiều người bất kỳ" quét mạng Wi-Fi, tìm người đang truy cập Internet và “cướp” truy cập của họ tới nhiều trang như Facebook, Twitter cùng nhiều dịch vụ khác.

    Add-on này tên là "Firesheep", được ông Eric Butler - một nhà phát triển ứng dụng web tự do sống tại Seattle (Mỹ) - phát hành hôm Chủ Nhật 24/10/2010 tại hội nghị bảo mật ToorCon. ToorCon đã diễn ra từ ngày 22 - 24/10/2010 tại San Diego (Mỹ).

    Ông Butler cho biết đã tạo ra Firesheep để cho thấy sự nguy hiểm của việc truy cập các website không được mã hóa từ các điểm truy cập Wi-Fi công cộng.

    Mặc dù các website thường mã hóa người dùng đăng nhập với HTTPS hay SSL, một số ít lại mã hóa lưu lượng (traffic) thực tế. "Điều này làm các cookie và người sử dụng dễ bị tổn thương", ông Butler viết trong một bài đăng lên blog của mình. "Trên một mạng không dây mở, về cơ bản các cookie đều ‘hét lên’ trong không khí, làm cho các cuộc tấn công cực kỳ dễ dàng".

    Với cookie của người dùng trong tay, một tên tội phạm có thể làm bất cứ điều gì người dùng có thể làm trên website, ông Butler lưu ý. Trong số các website mà Firesheep có thể “cướp” được quyền truy cập, phải kể tới Facebook, Twitter, Flickr, bit.ly, Google và Amazon.

    Firesheep thêm một thanh sidebar cho trình duyệt Firefox của Mozilla, hiển thị thông tin khi có ai đó trên một mạng mở - như mạng Wi-Fi của quán cà phê chẳng hạn - đang thăm một website không an toàn. "Click kép vào ai đó trong sidebar và bạn ngay lập tức đăng nhập như họ", ông Butler cho biết.

    Firesheep dường như có “sức hút không thể cưỡng lại”: Kể từ khi ông Butler đăng add-on này lên website GitHub hôm Chủ Nhật 24/10/2010, nó đã được tải (miễn phí) về gần 50.000 lần. Hiện Firesheep chỉ hoạt động với các phiên bản Firefox cho Windows và Mac OS X. Ông Butler đang làm việc trên phiên bản Firesheep cho Firefox trên Linux.

    Người dùng có thể tự bảo vệ mình bằng cách từ chối truy cập vào các website không an toàn khi ở trong các mạng mở.

    Nguồn: Computerworld, 25/10/2010