使用Firesheep,公共Wi-Fi的所有人现在都拥有了一键会话劫持工具。
它的工作方式 - 据我所知 - 就是简单地捕捉所有流量并获取会话cookie(因此它不会窃取密码)。
据我了解,这也意味着仅靠HTTPS安全登录并不能解决这个问题,因为后续的HTTP流量中仍将包含明文的会话cookie。
将会话与特定IP地址绑定由于NAT而无用,将其与用户代理绑定易于欺骗。
因此,是否始终使用100%的HTTPS是防止此类会话劫持的唯一方法?人们是否可以嗅探整个HTTPS流量,包括握手过程,还是这些内容是安全的?(我想到了重放攻击,但在这方面没有任何知识。)
当然,不使用公共/开放式Wi-Fi网络是更好的选择,但我仍然对网站开发人员可以采取哪些措施来保护他们的用户感兴趣。
150;
而不是150
,结果把当天的所有记录都删除了(真的!)。之后才允许进行一些安全修复。幸运的是,我已经不在那里工作了) - Piskvor left the building