security - 使用 FireSheep 劫持 Facebook；什么是最好的预防措施，它是如何起作用的？

Question

关于此安全问题:http://techcrunch.com/2010/10/24/firesheep-in-wolves-clothing-app-lets-you-hack-into-twitter-facebook-accounts-easily/

“任何时候用户登录站点，并且未重定向到 SSL/TLS/HTTPS 连接时， session cookie 都容易受到攻击”是真的吗？

保护 Facebook 凭据的最佳解决方案是什么，它是如何工作的？

有没有什么方法既可以进行安全 session 又不有 SSL/TLS？换句话说，有什么方法可以让一台机器上的 cookies 不能在另一台机器上重播吗？

最后一个问题之所以重要，是因为 Google AdSense 不支持 SSL/TLS，因此会强制设计人员公开所有 cookie。这将反过来影响每个依赖 AdSense 的网站

Answer 1

问题是 cookie，如果您没有 SSL/TLS，就会在网络上以明文形式发送。

任何监听 TCP/IP 流量的人都可以读取未加密的数据，也可以读取您的 cookie。

当你有了它们后，你可以将它复制到你自己的电脑上，它就会工作......

你需要 SSL/TLS !