减轻应用程序层中的"firesheep"攻击？

人们推荐哪些方法来减轻网站应用的"Firesheep"方法？

我们已经考虑过这一点,从可用性的角度来看,除了加密站点的所有流量之外,减轻攻击对于Web开发人员来说可能是一个问题.

我们提出的一个建议是使用基于路径的cookie,并为发生帐户操作或个性化交互的特定路径加密流量.然而,这使得可用性变得复杂,因为在该站点的其余部分(未加密 - 未经认证)位不知道用户将是谁.

有没有人有任何其他建议来减轻这种攻击向量,同时保持可用的可用性水平？

Firesheep 并不是什么新鲜事.会话劫持已经持续了二十多年.您不需要"加密"您的cookie,由传输层处理.Cookie必须始终是加密的nonce.

通常黑客只是通过在地址栏中键入它来设置自己的cookie javascript:document.cookie='SOME_COOKIE',FireSheep适用于担心1行JavaScript的脚本小子.但它确实不会使这种攻击更容易执行.

如果您在会话的整个生命周期中不使用HTTPS,则可能会劫持Cookie,这是OWASP A9的一部分 - 传输层保护不足.但是你也可以用XSS劫持会话.

1)使用httponly cookie.(因此JavaScript无法访问document.cookie,但你仍然可以使用xss进行会话骑行)

2)使用" 安全cookie "(可怕的名称,但它的标志强制浏览器只使用HTTPS HTTPS.)

3)使用Sitewatch(免费)或wapiti(开源)扫描您的Web应用程序xss

也不要忘记CSRF!(哪个firesheep没有解决)