Quali sono le metodologie consigliate dalle persone per mitigare il metodo "Firesheep" per le applicazioni Web?Attenuare l'attacco "firesheep" nel livello applicazione?
Abbiamo pensato a questo e dal punto di vista dell'usabilità, oltre a crittografare tutto il traffico verso un sito, la mitigazione dell'attacco può essere un po 'un problema per gli sviluppatori web.
Un suggerimento abbiamo fornito è stato quello di utilizzare i cookie percorso base, e cifrare il traffico per un percorso specifico in cui le operazioni di conto o di interazione personalizzata accade. Ciò tuttavia complica l'usabilità, in quanto il resto del sito (il non crittografato - non autenticato) non sa chi sarà l'utente.
Qualcuno ha altri suggerimenti per mitigare questo vettore di attacco, pur mantenendo un livello utile di usabilità?
Per inciso, se uno dei moderatori vuole aggiungere un tag 'firesheep' a questo, perché è piuttosto rilevante. – pobk
Un x-ref per [Firesheep] (http://gizmodose.com/firesheep-firefox-plugin-allows-users-to-steal-passwords-hack-facebook-accounts.html). –
possibile duplicato di [HTTPS è l'unica difesa contro Session Hijacking in una rete aperta?] (Http://stackoverflow.com/questions/4017344/is-https-the-only-defense-against-session-hijacking-in- an-open-network) – rook