系统管理员对他们管理的服务器减轻“firesheep”攻击的想法是什么?
Firesheep是一个新的firefox扩展,允许任何安装它的人进行它可以发现的sidejack会话.通过在网络上嗅探数据包并从已知站点查找会话cookie来发现它.为扩展程序编写插件以从其他站点侦听cookie相对容易.
从系统/网络的角度来看,我们已经讨论了加密整个站点的可能性,但这会在服务器和螺钉上引入额外的负载,包括站点索引,资产和一般性能.
我们调查的一个选项是使用我们的防火墙来进行SSL卸载,但正如我之前提到的,这将要求加密所有站点.
防止这种攻击媒介的一般想法是什么?
我在StackOverflow上问了一个类似的问题,然而,看看有什么问题会很有趣
系统工程师认为.
解决方法
只要会话数据在服务器和客户端之间明确传递,您就很容易在不安全的网络上进行某种劫持. HTTP的无状态特性几乎可以保证任何拥有会话数据的人都可以伪装成服务器.
那么该怎么办?您需要安全地将会话信息从服务器传递到客户端,而无需窃听者拦截它.最可靠,最简单的方法是让您的网站都是HTTPS,即没有未加密的流量.这很容易实现,因为您不必更改应用程序,只需更改服务器.缺点是它会增加服务器的负载.
如果这不是一个选项,那么您需要以某种方式模糊服务器传递给客户端的会话数据.并且客户端需要一些脚本来“解混”会话数据以在下一个请求时传递回服务器.是的,这是“通过默默无闻的安全”,每个人都知道它不起作用.除非确实如此.只要您的网站不是高价值目标,模糊会话数据就会阻止这种“火爆”事件的临时用户劫持您的用户.只有当您的网站被某人愿意对您的混淆进行逆向工程的雷达时,这种缓解技术才会失败.
