Какие методики рекомендуют для смягчения метода «Firesheep» для веб-приложений?Смягчение атаки «firesheep» в прикладном уровне?
Мы подумали об этом и с точки зрения удобства использования, кроме шифрования всего трафика на сайт, смягчение атаки может быть проблемой для веб-разработчиков.
Одно из предложений, которое мы придумали, заключалось в использовании файлов cookie на основе пути и шифровании трафика для определенного пути, в котором происходят операции с учетной записью или персонализированное взаимодействие. Однако это, однако, усложняет юзабилити, так как остальная часть сайта (нешифрованный - не аутентифицированный) бит не знает, кем будет пользователь.
Есть ли у кого-нибудь другие предложения по смягчению этого вектора атаки при сохранении полезного уровня юзабилити?
Кстати, если один из модераторов хочет добавить к нему тег 'firesheep', потому что это весьма актуально. – pobk
Один x-ref для [Firesheep] (http://gizmodose.com/firesheep-firefox-plugin-allows-users-to-steal-passwords-hack-facebook-accounts.html). –
Возможный дубликат [Является ли HTTPS единственной защитой от захвата сеанса в открытой сети?] (Http://stackoverflow.com/questions/4017344/is-https-the-only-defense-against-session-hijacking-in- a-open-network) – rook