TCP-Port 80 ist der Port, an den Sie HTTP-Anforderungen an einen Webserver senden. Dies steht im Gegensatz zum TCP-Port 443, über den HTTPS-Verkehr (SSL-verschlüsselt) übertragen wird. Da SSL-verschlüsselter Datenverkehr mit einem Schlüssel verschlüsselt wird, den nur der Webserver besitzt, können Sie den Inhalt von Anforderungen, die an einen Server an Port 443 gehen, in den meisten Fällen nicht einfach ermitteln. An Port 80 wird der Datenverkehr jedoch in Klartext gesendet (leicht lesbar). Daher ist es trivial zu sehen, was in den Anforderungen enthalten ist, selbst wenn sie jemand anderes sind. Alle Websites, für die Sie sich anmelden müssen, sollten SSL nutzen, viele jedoch nicht.
In Bezug auf Filter beginnt firesheep mit der Erfassung jedes einzelnen Pakets, das über das Netzwerk übertragen wird. Sobald dies erledigt ist, muss herausgefunden werden, welche Pakete interessant sind. Dies ist der Filtervorgang. Obwohl ich nicht weiß, wie Firesheep tatsächlich funktioniert, sucht es wahrscheinlich zuerst nach Anfragen an Websites, die ihm bekannt sind (z. B. Facebook), und sucht dann nach Anfragen, die wie ein Anmeldeversuch aussehen. Es kennt das Format des Facebook-Anmeldeformulars und kann daher einfach die Felder "Benutzername" und "Passwort" aus dem Paket entnehmen.