我正在阅读有关Firesheep的内容,并想知道如何保护我的Spring MVC 3.0网站免受此类攻击:
网站通常通过加密初始登录来保护您的密码,但令人惊讶的是,网站很少加密其他所有内容。这使得cookie(和用户)容易受到攻击。HTTP会话劫持(有时称为“sidejacking”)是指攻击者获取用户的cookie,从而允许他们在特定网站上做任何用户可以做的事情。在开放的无线网络上,cookie基本上是通过空气传播的,因此这些攻击非常容易。
在Spring MVC中是否有特定的配置设置可以帮助防止此类攻击?
根据文章所述:
解决此问题的唯一有效方法是全面端到端的加密,在Web上称为HTTPS或SSL。
我有一个在Google App Engine上运行的Spring网站。这是否意味着如果我想避免这种攻击,我需要使用Google帐户身份验证而不是Spring提供的内置身份验证?