Firesheep, ein Plugin für Firefox, demonstriert, wie einfach es für Angreifer sein kann, Benutzeraccounts zu übernehmen.
Dazu müssen nur zwei Dinge zusammenkommen: Der Benutzer surft auf einer unverschlüsselten Seite, während er dort angemeldet ist und ein Angreifer, der sich im selben Netzwerk befindet (z.B. offenes WLan), scannt (mit Firesheep) das Netzwerk. Das Passwort ansich interessiert Firesheep dabei gar nicht, sondern das Cookie, welches bei jedem einzelnen Seitenauruf (meist unverschlüsselt) übertragen wird. Also selbst wenn der Login über eine verschlüsselte Verbindung stattfindet (https) und die späteren Seitenaufrufe nicht, kann der Account übernommen werden!
Obwohl solche Techniken seit Jahren bekannt sind, haben viele Webseitenbetreiber noch nicht reagiert und bieten https nur beschränkt an bzw. überlassen es dem Benutzer, ob er https verwendet oder nicht. Abhilfe schaffen andere Plugins wie z.B. HTTPS Everywhere (siehe dazu: >> Verschlüssle das Web! <<) oder ForceTLS ( >> Download-Seite << ), welche automatisch auf eine verschlüsselte Verbindung wechseln.