アカウントを乗っ取るFirefoxのアドオンFiresheep

公共のWIFIホットスポットでセキュリティー処理の施されていない(httpsでない)サイトのセッション・クッキーを盗み(サイドジャッキングsidejackingと呼ぶ)、相手になりすましてサイトに侵入できるようにするfirefoxのアドオンがファイアーシープFiresheep。gmailのようにデフォルトでhttpsとなっているものは良いが、そうでないものは危険となる。このファイアーシープFiresheepの登場によってすべてのサイトがTLSレベルでhttps対応にしなければならない時代になった。それまではこうした公共のWIFIホットスポットではVPN接続を利用するか、同様にfirefoxのアドオンでFiresheepを無効にするForce-TLSか、HTTPS Everywhereを使うしかない。

TechCrunch has just today provided instructions provided by Steve Manuel on how to install and configure Force-TLS, a different Firefox Addon which helps with this situation. Basically, such an add on forces sites who are still using HTTP and not HTTPS to do so, thus encrypting their credentials and session; making the cookies 'invisible'.There is also an alternative version called HTTPS Everywhere to help with this matter, and if you are a Chrome user, it was mentioned that KB SSL Enforcer will assist as well. And just updated was the Force TLS for Chrome.

http://www.walyou.com/blog/2010/10/25/firesheep-firefox-addon-and-how-to-protect-against-it/
https://addons.mozilla.org/en-US/firefox/addon/12714/
https://www.eff.org/https-everywhere