اختطاف Facebook مع Firesheep ؛ ما هو أفضل مقياس وقائي ، وكيف يعمل؟
https://stackoverflow.com/questions/4024646
-
26-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
بخصوص هذه القضية الأمنية: http://techcrunch.com/2010/10/24/firesheep-in-wolves-clothing-app-lets-you-hack-into-twitter-facebook-accounts-easily/
هل من الصحيح أن نقول "في أي وقت يقوم فيه المستخدم بتسجيل الدخول إلى موقع ، ولا يتم إعادة توجيهه إلى اتصال SSL/TLS/HTTPS ، فإن ملفات تعريف الارتباط للجلسة ضعيفة"؟
ما هو أفضل حل لحماية بيانات اعتماد Facebook ، وكيف يعمل؟
هل هناك أي طريقة للحصول على جلسة آمنة و ليس لديك SSL/TLS؟ بمعنى آخر ، هل هناك أي طريقة لجعلها حتى لا يمكن إعادة تشغيل ملفات تعريف الارتباط على جهاز واحد؟
السبب في أن السؤال الأخير مهم هو أن Google AdSense لا يدعم SSL/TLS ، وبالتالي ستجبر المصمم على فضح جميع ملفات تعريف الارتباط. سيؤثر هذا بدوره على كل موقع يعتمد على AdSense
المحلول
المشكلة هي ملفات تعريف الارتباط وإرسالها على الشبكة إذا لم يكن لديك SSL/TLS.
يمكن لأي شخص يستمع إلى حركة مرور TCP/IP قراءة البيانات غير المشفرة ويمكنه قراءة ملفات تعريف الارتباط.
عندما يكون لديك لهم ، يمكنك نسخه على جهاز الكمبيوتر الخاص بك وسيعمل ...
تحتاج SSL/TLS!
نصائح أخرى
عندما تقوم بنقل البيانات في المفتوحة (غير المشفرة) ، لا توجد طريقة لحماية معلوماتك ، خاصة عدم استخدام ملف تعريف ارتباط معروف ومستخدم على نطاق واسع لتخزين معلومات المستخدم غير الحساسة. قد تجرب الحيل والاختراقات لتأكيد أن الشخص الذي صدر ملف تعريف الارتباط له هو الشخص الذي يمكنه استخدامه ، لكن هذا ليس ما تم تصميم ملفات تعريف الارتباط له. ملفات تعريف الارتباط ليست ميزة أمنية!
إذا كنت تريد الخصوصية ، فاستخدم التشفير. إنها بهذه السهولة. شهادات SSL رخيصة (منخفضة تصل إلى 10 دولارات في السنة). إذا كانت الأمن والخصوصية شرطا ، فلا يوجد عذر بعدم استخدام SSL.
لمواقعك الخاصة ، يمكنك تصميم ملفات تعريف الارتباط لتكون أكثر أمانًا: http://jaspan.com/improved_persence_login_cookie_best_practice
ولكن نظرًا لأن Facebook لم يفعل ذلك ، فإن الخيار الوحيد إذا كان يستخدم SSL.
