pob*_*obk 4 security web-applications cookies
系统管理员对减轻他们管理的服务器的“firesheep”攻击有何想法?
Firesheep 是一个新的 Firefox 扩展,它允许任何安装它的人进入它可以发现的 sidejack 会话。它通过嗅探网络上的数据包并从已知站点查找会话 cookie 来进行发现。为扩展程序编写插件以侦听来自其他站点的 cookie 相对容易。
从系统/网络的角度来看,我们已经讨论了加密整个站点的可能性,但这会给服务器和站点索引、资产和总体性能带来额外的负担。
我们研究过的一种选择是使用我们的防火墙来执行 SSL 卸载,但正如我之前提到的,这需要对所有站点进行加密。
关于防止这种攻击媒介的一般想法是什么?
我在 StackOverflow 上问过一个类似的问题,但是,看看系统工程师的想法会很有趣。
只要会话数据在服务器和客户端之间以明文方式传递,您就很容易受到不安全网络上的某种劫持。HTTP 的无状态特性几乎可以保证任何拥有您的会话数据的人都可以在服务器上冒充您。
那么该怎么办?您需要安全地将会话信息从服务器传递到客户端,而窃听者无法拦截它。最可靠、最简单的方法是让您的网站全部使用 HTTPS,即没有未加密的流量。这很容易实现,因为您不必更改应用程序,只需更改服务器即可。缺点是它增加了服务器的负载。
如果这不是一个选项,那么您需要以某种方式混淆服务器传递给客户端的会话数据。客户端需要一些脚本来“去混淆”会话数据,以便在下一个请求时传回服务器。是的,这就是“默默无闻的安全”,每个人都知道这是行不通的。除非它这样做。只要您的站点不是高价值目标,隐藏会话数据将防止这种“firesheep”事物的临时用户劫持您的用户。只有当/如果您的站点被愿意对您的混淆进行逆向工程的人所关注,这种缓解技术才会失败。