HTTPS est-il la seule défense contre le piratage de session dans un réseau ouvert?

Question

Donc, avec Firesheep, tout le monde dans un réseau Wi-Fi public a maintenant un un seul clic de la session de détourner l'outil.

La façon dont cela fonctionne - à ma connaissance - est qu'il suffit de captures de tout le trafic et attrape le cookie de session (afin de ne pas voler les mots de passe).

De ma compréhension, cela signifie également qu'un HTTPS sécurisé de connexion ne permet pas de résoudre ce seul fait, comme le trafic HTTP inclure le Cookie de Session en texte clair à nouveau.

En liant la session à une adresse IP spécifique est inutile grâce à NAT, et l'attacher à l'agent utilisateur est facile d'usurper l'identité.

Donc, est 100% HTTPS à tous les temps, la seule façon de prévenir ce type de détournement de session? Ne pouvait pas les gens simplement renifler l'ensemble du Trafic HTTPS, y compris la poignée de main, ou est ce genre de choses sans danger? (Je pense à des attaques de relecture, mais n'ont aucune connaissance dans ce domaine.)

Bien sûr, pas de l'aide publique/Réseaux Wi-Fi ouverts est le meilleur choix, mais je suis toujours intéressé ce qu'un développeur de site web peut faire pour protéger ses utilisateurs.

Answer 1

Firesheep est rien de nouveau. Détournement de Session a été autour depuis aussi longtemps que les applications web ont été en utilisant des Identifiants de Session. Généralement les pirates venez de définir leur propre cookie en tapant dans la barre d'adresse: javascript:document.cookie='SOME_COOKIE'. Cet outil est pour les script kiddies que la peur 1 ligne de JavaScript.

Les Cookies peuvent être détourné si vous n'utilisez pas le protocole HTTPS pour l'ensemble de la durée de la session et c'est une partie de l'OWASP A9 - le manque de Transport de la Couche de Protection. Mais vous pouvez aussi détourner une session avec XSS.

1) Utiliser des cookies httponly.

2) Utilisation de "sécuriser les cookies" (nom Horrible, mais c'est un indicateur qui force le navigateur à faire le cookie HTTPS uniquement.)

3) de Numérisation de votre application web pour le XSS à l'aide de Sitewatch (gratuit) ou wapiti (open source).

Aussi, ne pas oublier CSRF! (Qui Firesheep n'a pas d'adresse.)

Answer 2

La Tour a répondu, je vais juste répondre les autres parties de votre question.

Est 100% HTTPS à tous les temps, la seule façon de prévenir ce type de détournement de session?

C'est le droit. 100% HTTPS est le seul moyen. Et 100% est la clé.

Ne pouvait pas les gens simplement renifler l'ensemble du Trafic HTTPS, y compris la poignée de main, ou est ce genre de choses sans danger? (Je pense à des attaques de relecture, mais n'ont aucune connaissance dans ce domaine)

HTTPS a intégré la protection contre le rejeu. S'il est appliqué correctement, le HTTPS est vraiment sûr.

Même si HTTPS est mis en œuvre correctement, il ya des façons de les contourner. SSL Bande est l'un de ces outils. L'outil n'a pas d'exploiter SSL, c'est juste exploite le fait que les gens ont toujours de type mybank.com dans l'url au lieu de https://mybank.com.