Firefox web browser - Faster, more secure & customizable |
Firefoxのエクステンションとして公開されたHTTPセッションハイジャックツールFiresheepは、オープンワイヤレスネットワークからインターネットを利用する場合、いかに簡単にクッキーを傍受して他人になりすますことが可能かを示すことになった。WebサービスやWebアプリの提供側と、それを利用するユーザの双方がこの問題を意識し改善に取り組んでいく必要がある。
そしたアドバイスのひとつとしてMozilla Security BlogにおいてCooling Down the Firesheepという記事が掲載された。オープンワイヤレスネットワークであっても通信が最初から最後まですべてHTTPSである限り、そう簡単にクッキーは傍受されない。このため、サイト側からブラウザへHTTPS通信を促すHTTP Strict Transport Security (HSTS)を積極的に活用しよう、という内容になっている。HSTSはFirefox 4にはデフォルトで組み込まれている。
しかしMozillaはFirefox 4のリリースを2011年へ延期したばかり。今後さらに延期しないとは限らず、しかもこれまでの流れを見ると、メジャーアップグレードが実施されてもFirefoxの場合は新しいバージョンへの移行には長い時間がかかる。Firefox 3.6系や3.5系でもHSTSを利用する必要がでてくるだろう。
Cooling Down the Firesheepでは3.6系や3.5系でHSTSを利用するためのエクステンションとしてForce-TLSやNoScriptを紹介。また、Firefox 4でHSTSをより細かく設定するための上級者向けエクステンションとしてSTS UIを紹介している。