恩..
firesheep攔的不是密碼，而是Session，
也不是單純在同一個網域就可以，必須要類似HUB或WIFI等有廣播特性的。

理論上，非HTTPS的連線，
可在同一台電腦上，用多種瀏覽器同時登入一個網站操作。
就可以用同樣的原理盜取身份。

所以並不完全是臉書不注重，而是http + session + cookie 架構的天生缺陷。