代码之家  ›  专栏  ›  技术社区  ›  makerofthings7

用Firesheep劫持Facebook;什么是最好的预防措施,它是如何工作的?

session-cookies ssl cookies facebook security
  •  0
  • makerofthings7  · 技术社区  · 15 年前

    关于此安全问题: http://techcrunch.com/2010/10/24/firesheep-in-wolves-clothing-app-lets-you-hack-into-twitter-facebook-accounts-easily/

    当用户登录到一个站点,并且没有重定向到ssl/tls/https连接时,会话cookie是否容易受到攻击?

    保护Facebook凭证的最佳解决方案是什么?它是如何工作的?

    有没有任何方法可以进行安全会话和 有SSL/TLS吗?换言之,有没有任何方法可以使一台机器上的cookie不能在另一台机器上重播?

    最后一个问题之所以重要,是因为Google Adsense不支持SSL/TLS,因此将强制设计人员公开所有cookie。这反过来会影响到每个依赖Adsense的站点

    3 回复  |  直到 8 年前
        1
  •  3
  •   Loïc Février    15 年前

    问题是,如果您没有SSL/TLS,那么cookies和send-in-clear将在网络上出现。

    任何收听TCP/IP通信的人都可以读取未加密的数据,也可以读取cookies。

    当你拥有它们的时候,你可以把它复制到你自己的电脑上,它就会工作…

    您需要SSL/TLS!

        2
  •  0
  •   jathanism    15 年前

    当您以开放(未加密)方式传输数据时,无法保护您的信息,尤其是不使用cookie(一种众所周知且广泛使用的存储不敏感用户信息的协议)。你可以尝试一些技巧和黑客来断言,只有向其发出cookie的人才能使用它,但这不是cookie的设计目的。cookies不是安全功能!

    如果你想要隐私,使用加密。就这么简单。SSL证书很便宜(每年低至10美元)。如果需要安全和隐私,那么就没有理由不使用SSL。

        3
  •  -3
  •   Robert    15 年前

    对于您自己的站点,您可以设计更安全的cookie: http://jaspan.com/improved_persistent_login_cookie_best_practice

    但由于Facebook还没有做到这一点,所以它是使用SSL的唯一选择。

    推荐文章
    MaSc. H.  ·  大小与阵列大小
    1 年前
    David 54321  ·  我的密码在pyinstaller.exe中安全吗?
    1 年前
    Duong Duc Nguyen  ·  如何检测Windows应用程序(.exe)是否正在向外部发送数据?
    1 年前
    Michael  ·  某些Windows客户端上的命名管道安全问题
    2 年前
    al ice  ·  具有颤振的鲁棒认证
    2 年前
    adamency  ·  是否可以从Go二进制文件的源代码中检索字符串?
    2 年前
    Tricotou  ·  $.get(code_url)执行返回的代码,不使用eval(),也不将其附加到DOM。jQuery安全性失败?
    2 年前
    AlboSimo  ·  PayPal Api密钥安全
    2 年前
    Jordan Regan  ·  仅在响应中保护HTTP cookie,但不保护请求
    2 年前
    kellerkindt  ·  不带查询字符串的Apache2 ProxyPass
    2 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号