TCP-порт 80 - это порт, на который вы отправляете HTTP-запросы на веб-сервере. Это в отличие от TCP-порта 443, который используется для передачи трафика HTTPS (с шифрованием SSL). Поскольку трафик, зашифрованный с помощью SSL, шифруется с использованием ключа, который имеется только на веб-сервере, в большинстве случаев вы не можете легко определить содержимое запросов, отправляемых на сервер через порт 443. однако на 80-м порту трафик передается в виде открытого текста (легко читаемого), поэтому очень просто посмотреть, что находится в запросах, даже если это кто-то другой. Все веб-сайты, которые требуют от вас входа, должны использовать преимущества SSL, к сожалению, многие из них - нет.
Что касается фильтров, firesheep начинается с захвата каждого отдельного пакета, который проходит через сеть. После того, как это сделано, нужно выяснить, какие пакеты интересны. Это процесс фильтрации. Хотя я не знаю, как на самом деле работает Firesheep, он, вероятно, начинает с поиска запросов к сайтам, с которыми он знаком (например, Facebook), а затем ищет запросы, которые выглядят как попытка входа в систему. Он знает формат формы входа в Facebook, поэтому он может просто извлечь поля «username» и «password» из пакета.