FiresheepからWiFiでログイン情報を守る方法

次の記事

Twitter、Facebook、Dropbox、Evernote、全部危ない―WiFiでログイン情報を盗み取れるFirfoxアドオンFiresheep

TechCrunch読者のSteve Manuelは、大きな議論を巻き起こしているFirefoxのアドオンFiresheepからログイン情報を守る方法を発見したと通報してきた。FiresheepはオープンWiFiを通じてアクセスした場合、ほとんどありとあらゆるソーシャルネットワークのログイン情報を傍受できるソフトウェアだ。

Firesheepはほとんどのソーシャルサイトが接続プロトコルに安全性の低いHTTPを利用している(接続速度が速いため)点を突いている。 ところがFirefoxにはForce-TLSというアドオンがすでに存在する。これは相手方のウェブサイトに暗号化して通信を行うHTTPSプロトコルを使うよう強制するもので、こうすればFiresheepにはユーザーのクッキーの内容が分からなくなる。

HTTPS Everywhereも同様の機能を持ったアドオンだ。これらのFirefoxアドオンはアドオンメニューから接続方式を HTTPではなくHTTPSに変更することができる。そうすればソーシャルサイトにアクセスした場合でもログイン情報を盗み取られることはなくなる。

HTTPSはユーザーデータを暗号化するのでFiresheepが内容を読み取ることができない。Force-TLSは多くのサイトに対してSSL暗号化チャンネルを利用した通信を要求できる。ただしAmazon(*)など一部のサイトではSSLオプションが存在しない。Facebook、Twitter、Googleなどの主要サイトにはすべてHTTPS接続オプションhが存在する。

設定方法:

1. アドオンをここからダウンロードしてFirefoxにインストールする。

2. ツールメニューからアドオンの設定を開き、HTTPS通信を行いたい相手サイトのドメインを入力する。

3. Firefoxを再起動。

Note: HTTPS Everywhereとは異なり、Force-TLSはHTTPS通信を行う相手サイトをユーザーが個別に指定する。

誰しもすでに知っていることとは思うが、オンラインで活動する際には常になにがしかのプライバシー上のリスクが存在する。Force-TLSをインストールすれば、近所の喫茶店で無料のオープンWiFiを使うときのリスクが多少なりと軽減できるはずだ。他のブラウザにも同様のエクステンションが存在しないか早速調査してみる。その他Firesheep対策については、何か役に立つ情報を発見次第アップデートしていく。

Steve Manuelの情報提供に感謝

トップページのサムネール: Kevin Steele

〔*日本版注:Amazon日本語版にはログイン情報をHTTPSで送信するオプション(「サインイン・セキュリティーシステムを使う」がある)〕

[原文へ]

(翻訳:滑川海彦/namekawa01