Electronic Frontier Foundation обновил свою популярную программу по защите
браузеров для отражения атак, проводимых с помощью скрипта Firesheep.

HTTPS
Everywhere 0.9.0
был обновлен для того, чтобы заставить такие сайты как
Facebook и Twitter активировать флаг безопасности в куках, используемых для
аутентификации пользователей на этих сайтах, сказал Питер Экерслей из EFF.
Принуждая сайты отсылать куки аутентификации только в том случае, когда
соединение защищено SSL-шифрованием, программа делает атаки man-in-the-middle,
например запускаемые с помощью
Firesheep,
невозможными.

Защищая таким образом куки, HTTPS Everywhere обеспечивает защиту против
Firesheep, защиту которую должны были бы, но не предоставили сами сайты.

Хотя сеть была уязвима к подобному роду атак более десяти лет, многие
разработчики Web –страниц до сих пор не используют передовой опыт, когда дают
пользователям допуск к закрытым частям сайта. Например, последняя версия HTTPS
Everywhere закрывает части Facebook, которые могут отсылать куки аутентификации
только через незащищенные HTTP протоколы. Это значит, что использование
обновленной программы с чатом и некоторыми приложениями Facebook невозможно, по
крайней мере до тех пор, пока эти части не претерпят изменения.

Обновление также работает с некоторыми распространенными облачными сервисами,
включая s3.amazonaws.com и twimg.com. Программа решает многие проблемы,
связанные с использованием этих сайтов Твиттером, Фейсбуком или другими сайтами.
Также обновление коснется и работы со многими другими сайтами, включая Bit.ly,
Cisco, Dropbox, Evernote и GitHub.

HTTPS Everywhere это плагин Firefox, который, как и NoScript, просто
обязательно должен быть установлен у людей, использующих бесплатный браузер и
задумывающихся о безопасности. Программа была выпущена EFF и членами Tor Project
в июне. Ее уже загрузили более чем 500 000 раз.



Оставить мнение