暗号化されていないHTTP接続でWebをサーフィンすることは安全ではない。特にあなたが、暗号化されていないWi-Fi接続を介してサーフィンしている場合は。同じホットスポットを使用している他の誰でも、あなたのトラフィックをモニタするための特別なツールを使用することができるからだ。

  暗号化されたHTTPS接続によりWebをサーフィンする方がはるかに良い。強力な暗号化(WPA2)を使用したホットスポットの利用も安全だ。しかし、これらのオプションは通常、エンドユーザが決められることではない。大部分のオープンなホットスポットは、まったく暗号化していないし、多くのポピュラーなサイトは、たとえあったとしても、ログイン手続きにHTTPSを使用するのみだ。

  そしてたとえログインセッションが暗号化されるにしても、多くの人気サイト(Facebook、Twitter、Amazonなど)は、以降のすべてのリクエストのために使用されるクッキーをブラウザに与える。もし誰かがこのクッキーを盗むことができれば、同サービスでのあなたのセッションを盗むことができるのだ。

  人々は、クッキーを盗むことによってセッションをキャプチャすることは、特別なツールを持つ熟練ハッカーによってのみ可能であるという印象を持ってきた。
Firesheep
  この状況は現在変化している。

  「Hey Web 2.0: Start protecting user privacy instead of pretending to(ユーザのプライバシーを守るふりではなく、本当に保護することを始める)」という名のペーパーが、 Ian GallagherとEric Butlerにより、先週「Toorcon」で発表された。彼らのスライドはここにある。

  彼らは「Firesheep」というツールもリリースした。

  「Firesheep」は、この問題を示すために設計されたFirefoxブラウザのエクステンションだ。

  「Firesheep」はローカルWi-Fiネットワークをスキャンする。同ツールはFacebook、Twitter、Google、Amazon、Dropbox、Evernote、Wordpress、Flickr、bit.lyといったサービスにログインしているユーザをつきとめる。そしてこれらのユーザのアイコンを表示し、これによりあなたは彼らになることができるのだ。あなたは彼らのオープンセッションを続けたり、何かを投稿したり、削除したりすることができる。あなたは、これらのユーザにできることは、何でも実行することができる。

  これはかなり深刻な問題だ。実行するのが難しかった何かが、突然、取るに足りないほど簡単に実行できるようになるのだ。

  Windowsでの「Firesheep」の使用には、まだ若干のスキルが必要であることに注意して欲しい。すなわち、WinPcapパケットキャプチャソフトウェアをインストールする必要があるからだ。

  「Firesheep」は不正使用されるだろうか? 間違いなく。

  上記のサイトのいくつかに、完全なSSLをもたらすだろうか? 我々はそう願う。Gmailは今年初め、これを実行している。

  現状でユーザは何をすることができるだろうか? 可能ならば、SSLを押し進めること。暗号化なしでWi-Fiを使用してはいけない。あるいはVPNを使用すること。

  ほとんどの企業ラップトップは、企業VPNがインストールされている。しかしユーザの多くは、自分たちがそれを必要とする時にオンにするだけだ。これは間違った考え方だ。もしVPNがあるならば、ホットスポットでは常にオンにしておくべきだ。あなたが「働いている」のではなくて、単にFacebookをサーフィンしているだけだとしても。

  明らかに、ホームユーザは自分達のラップトップに企業VPNはインストールされていない。それでは、どのVPNサービスを使用するべきだろうか? 我々は同市場を調査していないので、実際、分からない。皆さんのご意見に興味を持っている。コメント欄からフィードバック頂ければ幸いだ。

追記:「TechCrunch」がFirefoxエクステンション「Force-TLS」に関する記事を掲載している:「Firesheep」からあなたのログイン情報を守る方法