用 FireSheep 劫持 Facebook；最好的预防措施是什么？它是如何发挥作用的？

Question

关于此安全问题：

“只要用户登录到站点，并且没有重定向到 SSL/TLS/HTTPS 连接，会话 cookie 就容易受到攻击”，这句话是真的吗？

保护 Facebook 凭据的最佳解决方案是什么？它是如何工作的？

有什么方法可以实现安全会话并且不使用 SSL/TLS？换句话说，有什么办法可以让一台机器上的cookie不能在另一台机器上重播吗？

最后一个问题之所以重要，是因为 Google AdSense 不支持 SSL/TLS，因此将迫使设计者公开所有 cookie。这将反过来影响每个依赖 AdSense 的网站

Answer 1

问题在于 cookie，如果您没有 SSL/TLS，则在网络上以明文形式发送。

监听 TCP/IP 流量的任何人都可以读取未加密的数据，并且可以读取您的 cookie。

当你拥有它们后，你可以将其复制到你自己的计算机上，它就会工作......

你需要 SSL/TLS ！

Answer 2

当您公开（未加密）传输数据时，无法保护您的信息，尤其是不使用 cookie，cookie 是一种众所周知且广泛使用的用于存储不敏感用户信息的协议。您可以尝试一些技巧和技巧来断言只有获得 cookie 的人才能使用它，但这并不是 cookie 的设计目的。 Cookie 不是安全功能！

如果您想要隐私，请使用加密。就这么简单。 SSL 证书很便宜（每年低至 10 美元）。如果需要安全和隐私，则没有理由不使用 SSL。

Answer 3

对于您自己的网站，您可以将 Cookie 设计得更安全： http://jaspan.com/improved_persistent_login_cookie_best_practice

但是因为Facebook 还没有这样做，唯一的选择是使用 SSL。