Взлом Facebook с помощью FireSheep; Какова наилучшая профилактическая мера и как она работает?

Относительно этой проблемы безопасности: http://techcrunch.com/2010/10/24/firesheep-in-wolves-clothing-app-lets-you-hack-into-twitter-facebook-accounts-easyly/

Верно ли сказать, что «каждый раз, когда пользователь входит на сайт и не перенаправляется на соединение SSL/TLS/HTTPS, файлы cookie сеанса уязвимы»?

Какое лучшее решение для защиты учетных данных Facebook и как оно работает?

Есть ли способ иметь безопасный сеанс и не использовать SSL/TLS? Другими словами, есть ли способ сделать так, чтобы файлы cookie на одном компьютере не воспроизводились на другом?

Причина, по которой последний вопрос важен, заключается в том, что Google AdSense не поддерживает SSL/TLS и, следовательно, заставит разработчика предоставлять доступ ко всем файлам cookie. Это, в свою очередь, повлияет на все сайты, использующие AdSense.


ssl facebook security session-cookies cookies
person halfbit    schedule 26.10.2010    source источник
comment
вам 100% нужен SSL/TLS. Это отдельно от owasp a9. Также я на 100% уверен, что AdSense поддерживает ssl/tls, потому что я использую его на своем сайте.   -  person rook    schedule 26.10.2010
comment
возможный дубликат Является ли HTTPS единственной защитой против перехвата сеанса в открытой сети?   -  person rook    schedule 26.10.2010
comment
@Rook - я проверил 4 месяца назад, и AdSense не поддерживает это ... это даже было частью часто задаваемых вопросов. это новое?   -  person halfbit    schedule 26.10.2010

Ответы (3)


arrow_upward
3
arrow_downward

Проблема заключается в том, что файлы cookie и отправляются в сети в чистом виде, если у вас нет SSL/TLS.

Любой, кто прослушивает трафик TCP/IP, может читать незашифрованные данные и может читать ваши файлы cookie.

Когда они у вас есть, вы можете скопировать их на свой компьютер, и они будут работать...

Вам нужен SSL/TLS!

person Loïc Février    schedule 26.10.2010

arrow_upward
0
arrow_downward

Когда вы передаете данные в открытом (незашифрованном) виде, нет НИКАКОЙ СПОСОБНОСТИ защитить вашу информацию, особенно без использования файла cookie, который является хорошо известным и широко используемым протоколом для хранения неконфиденциальной пользовательской информации. Вы можете использовать уловки и хаки, чтобы утверждать, что только человек, которому был выдан файл cookie, может его использовать, но файлы cookie предназначены не для этого. COOKIES НЕ ЯВЛЯЮТСЯ ФУНКЦИЕЙ БЕЗОПАСНОСТИ!

Если вам нужна конфиденциальность, используйте шифрование. Это так просто. SSL-сертификаты дешевы (всего 10 долларов в год). Если безопасность и конфиденциальность являются обязательными требованиями, нет оправдания отказу от использования SSL.

person jathanism    schedule 26.10.2010

arrow_upward
-3
arrow_downward

Для ваших собственных сайтов вы можете создавать файлы cookie, чтобы сделать их более безопасными: http://jaspan.com/improved_persistent_login_cookie_best_practice

Но поскольку Facebook этого не сделал, единственный вариант — использовать SSL.

person Robert    schedule 26.10.2010
comment
Правда, он не полностью предотвращает сниффинг, но делает его гораздо менее ценным для злоумышленника и упрощает его обнаружение. Или я неправильно понял статью? - person Robert; 27.10.2010