因此,使用Firesheep,公共Wi-Fi中的每个人现在都有一键式会话劫持工具.
它的工作方式 - 据我所知 - 它只是捕获所有流量并抓取会话cookie(因此它不会窃取密码).
根据我的理解,这也意味着HTTPS安全登录不能单独解决这个问题,因为进一步的HTTP流量将再次以明文形式包含会话Cookie.
由于NAT将会话绑定到特定IP地址是无用的,并且将其绑定到用户代理很容易欺骗.
那么100%HTTPS始终是阻止此类会话劫持的唯一方法吗?人们不能简单地嗅探整个HTTPS流量,包括握手,还是这个东西安全?(我正在考虑重播攻击,但对该领域一无所知.)
当然,不使用公共/开放式Wi-Fi网络是更好的选择,但我仍然对网站开发人员可以做些什么来保护他/她的用户感兴趣.