Los estándares de cifrado SSL y https son lo bastante seguros e imposibles de romper en la práctica. La costumbre de los desarrolladores web de usar https sólo para autenticarse y mandar el resto del tráfico sin cifrar, incluídas las cookies de sesión, hace que sea fácil capturar estas credenciales y hacerse pasar por otro usuario.

Para demostrar esta vulnerabilidad, Eric Butler, un asistente a la conferencia de seguridad Toorcon, ha programado una extensión de Firefox llamada Firesheep que automatiza todo este proceso. Uno se pone con su navegador conectado a una red inalámbrica, y cuando ve el icono de un usuario de Facebook, Twitter o cualquiera otra de las aplicaciones reconocidas por la extensión, no tiene más que pulsar sobre su icono para hacerse pasar por él.

Su justificación para publicar el código de Firesheep es: «Los sitios web tienen la responsabilidad de proteger a la gente que depende de sus servicios. Llevan demasiado tiempo ignorando esta responsabilidad, y es hora de que todos exijamos una web más segura. Espero que Firesheep ayude a los usuarios a ganar.»

Visto en: barrapunto