Sven Schönhoff

Facebook, StudiVZ, MeinVZ, SchuelerVZ etc. mit http Everywhere gegen Account-Diebstahl durch Firesheep absichern

2010 wurde durch Firesheep eindrucksvoll demonstriert, wie einfach es ist, sich Zugriff auf Benutzeraccounts anderer Netzwerknutzer in unverschlüsselten W-Lans zu verschaffen. Ein simpler Klick auf das Profil des fremden Benutzeraccounts in Firesheep ermöglicht den Login in den fremdem Account, ohne dessen Passwort zu kennen. Nähere Informationen gibt es dazu unter anderem auf heise.de

Ermöglicht wird dieser Zugriff durch das Auslesen von Cookies, was durch die Ãœbertragung mit dem http Protokoll unterbunden werden könnte. Zahlreiche Webseiten, unter anderem soziale Netzwerke wie Facebook, StudiVZ, MeinVZ und SchuelerVZ übertragen die Cookies jedoch standardmäßig unverschlüsselt.

Das Problem löst sich durch das Meiden unverschlüsselter W-Lans oder Aufrufen der Seiten mit http://www….. Jedoch wird bereits beim unaufmerksamen Anklicken eines Links, welcher mit http beginnt der Cookie wieder unverschlüsselt übertragen.

Abhilfe schafft das Firefox Plugin http-Everywhere, welches bei ausgewählten Seiten immer das http durch ein http ersetzt.

Downloadbar unter http://www.eff.org/http-everywhere mit einem klick auf „install“ oder direkt hier.

Da das Addon standardmäßig nur internationale Webseiten supportet, müssen als nächstes für die Unterstützung von StudiVZ, SchuelerVZ und MeinVZ folgende Dateien in den Ordner

StudiVZ.xml SchuelerVZ.xml MeinVZ.xml

(Rechtsklick und „speichern unter“ wählen)

Windows 7

C:\Benutzer\Benutzername\AppData\Roaming\Mozilla\Firefox\Profiles\******\httpEverywhereUserRules

Windows XP

C:\Benutzerdaten\Benutzername\Application Data\Mozilla\Firefox\Profiles\******\httpEverywhereUserRules

gespeichert werden.

Nun muss nur noch in den Einstellungen des Addons eine Umleitung auf http aktiviert werden. Dazu setzt man einfach bei Facebook und denVZNetzwerken ein Häckchen.

In die Einstellungen kommt man im Reiter über Extras und dann Einstellungen:

Die Einstellungen von http-Everywhere öffnet man über den Button „Einstellungen“.

Nun müssen nur noch die gewünschten Häckchen aktiviert werden.

Die mobile Version verlassen