Je vous avais parlé du piratage de sessions. Il n'aura pas fallu longtemps pour la contre-mesure, Fireshepherd. En gros, ce programme inonde le réseau de fausses sessions, plantant Firesheep.

Mais ce n'est qu'un pis-aller. Le mieux serait que tous les sites passent intégralement en HTTPS, ce que la plupart refusent de faire pour des problèmes de performances.

Justement, Google donne une leçon sur la chose dans un PDF intéressant, Low Cost, High Performance, Strong Security: Pick Any Three. Il serait temps.

PS: L'extension Firefox qui force le HTTPS n'est pas une solution idéale. Tous les site ne le supportent pas. C'est à chaque site de mettre en place proprement HTTPS (et d'utiliser le flag "secure" des cookies).

Mise à jour 8 novembre 2010: Une extension pour Firefox, BlackSheep, permet de détecter FireSheep (il envoie des ID de session bidons et regarde s'ils sont réutilisés).