2010 wurde durch Firesheep eindrucksvoll demonstriert, wie einfach es ist, sich Zugriff auf Benutzeraccounts anderer Netzwerknutzer in unverschlüsselten W-Lans zu verschaffen. Ein simpler Klick auf das Profil des fremden Benutzeraccounts in Firesheep ermöglicht den Login in den fremdem Account, ohne dessen Passwort zu kennen. Nähere Informationen gibt es dazu unter anderem auf heise.de

Ermöglicht wird dieser Zugriff durch das Auslesen von Cookies, was durch die Ãœbertragung mit dem http Protokoll unterbunden werden könnte. Zahlreiche Webseiten, unter anderem soziale Netzwerke wie Facebook, StudiVZ, MeinVZ und SchuelerVZ übertragen die Cookies jedoch standardmäßig unverschlüsselt.

Das Problem löst sich durch das Meiden unverschlüsselter W-Lans oder Aufrufen der Seiten mit http://www….. Jedoch wird bereits beim unaufmerksamen Anklicken eines Links, welcher mit http beginnt der Cookie wieder unverschlüsselt übertragen.

Abhilfe schafft das Firefox Plugin http-Everywhere, welches bei ausgewählten Seiten immer das http durch ein http ersetzt.

Downloadbar unter http://www.eff.org/http-everywhere mit einem klick auf „install“ oder direkt hier.

Da das Addon standardmäßig nur internationale Webseiten supportet, müssen als nächstes für die Unterstützung von StudiVZ, SchuelerVZ und MeinVZ folgende Dateien in den Ordner

StudiVZ.xml SchuelerVZ.xml MeinVZ.xml

(Rechtsklick und „speichern unter“ wählen)

Windows 7

C:\Benutzer\Benutzername\AppData\Roaming\Mozilla\Firefox\Profiles\******\httpEverywhereUserRules

Windows XP

C:\Benutzerdaten\Benutzername\Application Data\Mozilla\Firefox\Profiles\******\httpEverywhereUserRules

gespeichert werden.

Nun muss nur noch in den Einstellungen des Addons eine Umleitung auf http aktiviert werden. Dazu setzt man einfach bei Facebook und denVZNetzwerken ein Häckchen.

In die Einstellungen kommt man im Reiter über Extras und dann Einstellungen:

Die Einstellungen von http-Everywhere öffnet man über den Button „Einstellungen“.

Nun müssen nur noch die gewünschten Häckchen aktiviert werden.

3 thoughts on “Facebook, StudiVZ, MeinVZ, SchuelerVZ etc. mit http Everywhere gegen Account-Diebstahl durch Firesheep absichern”

  1. Man sollte jedoch beachten, dass der Facebook-Chat nicht mehr funktioniert, wenn man die Facebook-Seite im abgesichterten Modus (mit http) aufruft.
    Jedoch gibt es ja glücklicherweise schon Chat-Clients (z.B. Trillian und Miranda) bei denen man den Facebook-Chat miteinbinden kann 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte als Captcha folgende Aufgabe lösen: * Time limit is exhausted. Please reload CAPTCHA.