Force-TLS: FireSheep(が明るみに出す脆弱性)からプライバシーを守るFFエクステンション
FireSheepというFirefoxエクステンションが明らかにするように、ログイン後にもHTTPSを使わないサイトのアカウントはセッションクッキーを盗み見ることによって簡単にハイジャックできてしまう。
この記事によると、Force-TLSというFirefoxエクステンションがそれから守ってくれるらしい: https://addons.mozilla.org/en-US/firefox/addon/12714/
これは簡単なもので、HTTPS版をサポートしているサイトではブラウザが勝手にそっちに切り替えることにより、ユーザが意識しなくても、安全なプロトコルを使うようにするというもののようだ。
上記事によるとFacebook, Twitter, Googleなど大手サイトはHTTPS版を用意しているらしい。(ソーシャルサービスにうといテングはあまり知らない…) じゃあ、何でそっちをディフォルトにしないのか? という疑問が出る。やはりHTTPSの方がサーバ運営側にとってはリソースを喰うからか? gmailがディフォルトでHTTPSに以降際はサーバの数は殖やさずに済んだという話を聞いたことがあるが、それはgoogleの技術をもってして可能なことなのだろうか?
FireSheepの目的はウェブセキュリティの現状にたいする啓蒙なので、Force-TLSやhttps-everywhereの認知が高まるということは、その存在が功を奏すことになる。