A porta TCP 80 é a porta para a qual você envia solicitações HTTP em um servidor da web. Isso é diferente da porta TCP 443, que é usada para transportar tráfego HTTPS (criptografado por SSL). Como o tráfego criptografado por SSL é criptografado usando uma chave que somente o servidor da Web possui, você não pode determinar facilmente o conteúdo das solicitações indo para um servidor na porta 443, na maioria dos casos. na porta 80, no entanto, o tráfego está sendo enviado em texto simples (facilmente legível), portanto, é trivial ver o que está nos pedidos, mesmo que sejam os mesmos. Todos os sites que exigem que você faça login devem aproveitar o SSL, mas infelizmente muitos não são.
No que diz respeito aos filtros, o firesheep começa capturando todos os pacotes que trafegam pela rede. Uma vez feito isso, ele precisa descobrir quais pacotes são interessantes. Este é o processo de filtragem. Embora eu não saiba como o Firesheep realmente funciona, ele provavelmente começa procurando por solicitações para websites com os quais ele está familiarizado (por exemplo, facebook) e, em seguida, procura solicitações que se parecem com uma tentativa de login. Ele conhece o formato do formulário de login do facebook, então ele pode simplesmente extrair os campos 'username' e 'password' do pacote.