Vor ein paar Tagen ist das Firefox-Add-On Firesheep (Bericht) auf einer Konferenz vorgestellt worden. Firesheep untersucht den Datenverkehr in drahtlosen Netzen (WLAN) auf Pakete, die unverschlüsselt an Dienste wie zum Beispiel Twitter oder Facebook gesendet werden. Aus diesen Paketen filtert Firesheep jene heraus, die Session Cookies enthalten. Session Cookies werden dazu verwendet, einen eingeloggten Benutzer gegenüber einer Website zu indentifizieren. Firesheep ermöglicht es, mit Hilfe der Session Cookies die Session des anderen Benutzers zu kapern und so zum Beispiel dessen Facebook-Account zu verwenden.
Dabei ist es egal, ob man sich in einem verschlüsselten oder unverschlüsselten WLAN befindet. In beiden Fällen können die in diesem WLAN eingeloggten Benutzer die Session Cookies mitlesen.
Websites, die für alle Vorgänge (also nicht nur zur Übertragung des Passworts) eine per SSL verschlüsselte Verbindung verwenden, sind von diesem Problem nicht betroffen. Leider verwenden viele Websites (z.B. Facebook) SSL nur für die Übertragung des Passworts beim Login-Vorgang.
Wie kann ich verhindern, dass jemand meine Accounts verwendet?
Ein VPN (Virtual Private Network) verwenden. VPN sind ursprünglich dafür gedacht, mehrere private LANs über das Internet zu verbinden oder es einem Benutzer zu ermöglichen, von überall auf der Welt über das Internet auf ein privates LAN (z.B. das Firmennetzwerk) zuzugreifen. Die Verbindung vom Client (z.B. dem Notebook im Internetcafé) zum VPN-Endpunkt (z.B. einem Server der Firma) ist verschlüsselt, der weitere Weg der Pakete vom VPN-Endpunkt zum Empfänger (z.B. Facebook) nicht unbedingt.
Uni Wien
Die Uni Wien stellt einen VPN-Server zur Verfügung, der auch dazu gedacht ist, Online-Angebote von Zeitschriften wie z.B. Nature von daheim aus über den Zugang der Universität Wien nützen zu können. Jeder, der einen gültigen Mailbox-Account (für Mitarbeiter) oder unet-Account (für Studierende) hat, kann diesen VPN-Server verwenden. Wie das geht, steht hier (VPN via Klient), genauere Anleitungen für einige verschiedene Betriebssysteme findet man hier. Wenn die Verbindung aufgebaut ist, ist der eigene Computer Teil des Datennetzes der Uni Wien.
Wegen des Rechenaufwands und der nötigen Bandbreite sind VPN-Verbindungen langsamer als direkte Verbindungen. Im eigenen Interesse sollte man die VPN-Verbindung nicht für bandbreitenintensive Dienste wie z.B. Youtube oder illegale Dinge wie z.B. Filesharing verwenden, sondern nur Dinge tun, die den Benützungsbedingungen des Uni Wien-Datennetzes entsprechen.
Andere
Viele andere Unis und Arbeitgeber bieten VPN-Zugänge an–Fragen schadet nicht. Außerdem gibt es einige Anbieter von kostenpflichtigen VPN-Endpunkten, die zum Teil auch Nutzer anwerben, die regional begrenzte Dienste wie z.B. Hulu von außerhalb verwenden möchten.