FiresheepからWiFiでログイン情報を守る方法

次の記事

Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れるFirfoxアドオンFiresheep

TechCrunch読者のSteve Manuelは、大きな議論を巻き起こしているFirefoxのアドオンFiresheepからログイン情報を守る方法を発見したと通報してきた。FiresheepはオープンWiFiを通じてアクセスした場合、ほとんどありとあらゆるソーシャルネットワークのログイン情報を傍受できるソフトウェアだ。

Firesheepはほとんどのソーシャルサイトが接続プロトコルに安全性の低いHTTPを利用している(接続速度が速いため)点を突いている。 ところがFirefoxにはForce-TLSというアドオンがすでに存在する。これは相手方のウェブサイトに暗号化して通信を行うHTTPSプロトコルを使うよう強制するもので、こうすればFiresheepにはユーザーのクッキーの内容が分からなくなる。

HTTPS Everywhereも同様の機能を持ったアドオンだ。これらのFirefoxアドオンはアドオンメニューから接続方式を HTTPではなくHTTPSに変更することができる。そうすればソーシャルサイトにアクセスした場合でもログイン情報を盗み取られることはなくなる。

HTTPSはユーザーデータを暗号化するのでFiresheepが内容を読み取ることができない。Force-TLSは多くのサイトに対してSSL暗号化チャンネルを利用した通信を要求できる。ただしAmazon(*)など一部のサイトではSSLオプションが存在しない。Facebook、Twitter、Googleなどの主要サイトにはすべてHTTPS接続オプションhが存在する。

設定方法:

1. アドオンをここからダウンロードしてFirefoxにインストールする。

2. ツールメニューからアドオンの設定を開き、HTTPS通信を行いたい相手サイトのドメインを入力する。

3. Firefoxを再起動。

Note: HTTPS Everywhereとは異なり、Force-TLSはHTTPS通信を行う相手サイトをユーザーが個別に指定する。

誰しもすでに知っていることとは思うが、オンラインで活動する際には常になにがしかのプライバシー上のリスクが存在する。Force-TLSをインストールすれば、近所の喫茶店で無料のオープンWiFiを使うときのリスクが多少なりと軽減できるはずだ。他のブラウザにも同様のエクステンションが存在しないか早速調査してみる。その他Firesheep対策については、何か役に立つ情報を発見次第アップデートしていく。

Steve Manuelの情報提供に感謝

トップページのサムネール: Kevin Steele

〔*日本版注:Amazon日本語版にはログイン情報をHTTPSで送信するオプション(「サインイン・セキュリティーシステムを使う」がある)〕

[原文へ]

(翻訳:滑川海彦/namekawa01

“FiresheepからWiFiでログイン情報を守る方法” への7件のフィードバック

  1. 匿名 より:

    Firefox以外のブラウザの場合、とりあえず手動でURLの先頭をhttp->httpsに置換してアクセス。南京錠が閉まっているアイコンが出ればhttpsアクセス成功。Could not locate remote server エラーならそのドメインはhttpsをサポートしていない。(別のドメイン名でhttpsをサポートしている可能性はあり)。

    Twitter、Facebook、Evernote、Dropboxは単純にhttpsに置換するだけでアクセス可能。

    GMailの場合は「設定→全般」タブから「常にhttpsを利用する」にチェックを入れる。

  2. Tsuyoshi CHO より:

    む、Force-TLSはしらなんだ

  3. […] Firefoxのおもしろいやつの話題。 […]

  4. […] 6. FiresheepからWiFiでログイン情報を守る方法(2010年10月26日) 7. インターネットテレビとケーブルテレビの死, […]

  5. […] 多くのユーザーは、サイトへのログインに強制的にHTTPSを使うという方法で対処しているが、このほどZscaler Securityは、BlackSheepというFiresheep対抗策を発表した。これは積極的にFiresheepがユーザーのセッションをハイジャックしようとしていることを探知し、防御策を取るというFirefoxのアドオンだ。 […]

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中