Come può un utente difendersi contro il dirottamento di sessione?

Ecco alcuni suggerimenti. Niente di tutto ciò ti darà lo stesso livello di sicurezza di TLS.

• Non utilizzare il sito a meno che non sia necessario. Ma dal momento che chiedi, presumo che tu lo faccia.
• Se lo visiti, utilizza una VPN (o Tor) il più spesso possibile. Un utente malintenzionato dovrebbe trovarsi nel bel mezzo dell'uscita VPN e del server in questione, il che è più difficile che trovarsi nel mezzo di te e del server (ma non impossibile, soprattutto non per un governmnet - o il provider della VPN / Tor exit node ...).
• Se non si utilizza una VPN, almeno non utilizzarla tramite Wi-Fi. È molto più semplice sniffare di una rete via cavo.
• Resta connesso per brevi periodi di tempo e disconnetti sempre quando hai finito. Non selezionare la casella "ricordami".
• A meno che la pagina di accesso non sia su HTTPS, dovresti essere più preoccupato per la tua password, quindi il tuo ID di sessione ... Se la pagina di accesso è su HTTPS, controlla sempre di avere una connessione sicura in modo da non diventare una vittima di SSL-strip.

A seconda della probabilità che tu pensi che tu possa essere il bersaglio di un attacco, questo può o non può essere abbastanza. Temo che non ci sia molto altro da fare.

Una VPN solo protegge la tua sessione fino al punto in cui esce vpn -ssl è esattamente la stessa, ma il tunnel si estende al sito a cui ti stai connettendo. Pertanto, quando si accede a un sito http utilizzando una VPN, si è protetti solo contro un attacco alla rete locale e alcuni hop lungo.

Se la tua descrizione è accurata e vengono trasmessi dati sensibili in entrambe le direzioni, queste persone sono degli idioti che ignorano il loro dovere di diligenza nei confronti dei loro clienti. Ma ci sono siti che non scambiano informazioni sensibili con il tuo browser.

TLS è solo una parte dei controlli di sicurezza che un sito Web dovrebbe implementare. Non so perché senti il bisogno di proteggere la loro identità.

Gli amministratori di siti con alto traffico e basso valore aggiunto generalmente odiano il protocollo HTTPS, poiché utilizza molte più risorse e risorse per il costo. Quindi c'è sempre un equilibrio tra la sensibilità dei dati scambiati e il costo per la loro protezione. Una password deve essere passata solo su HTTPS, poiché ciò che rimane, l'amministratore dei dati è responsabile della sua decisione.

Il modo migliore per mitigare il rischio di dirottamento di sessione è quello di disconnettersi esplicitamente quando non si è più attivamente connessi al sito per fare in modo che il server rigetti il token di sessione a partire da quel momento. Inoltre, l'amministratore del sito sarà contento perché non permetterà alle sessioni inutilizzate di consumare risorse ...

Se possibile, tunnel il tuo traffico attraverso una macchina affidabile. Ho un server SSH a casa che posso scavare nel tunnel se sono su una rete non sicura. Mentre qualcuno potrebbe teoricamente MitM il tuo server SSH su Internet, questo è molto più difficile e molto meno probabile di un computer locale su una rete pubblica o su una rete che, come dici tu, è "non sorprendente" essere annusato.

Potresti anche, come altri hanno detto, utilizzare un servizio VPN / tunnel / proxy di terze parti. Questi variano in termini di qualità e costi, e mentre personalmente mi fido della mia macchina più di un servizio di terze parti, questo potrebbe essere più pratico per te.

Dici poco sul sito in questione e su quali servizi offre, ma ulteriori passi che potrebbero valere la pena di prendere sono:

• (ovvio) usando una password strong, casuale, completamente unica anche se non segui normalmente questa best practice. Hanno dimostrato che non possono essere considerati affidabili in sicurezza, quindi sono i primi candidati per le perdite di password.

• Non si sta utilizzando un'app che forniscono: ci si può fidare che si disconnettano? Che cosa succede se hai effettuato l'accesso al tuo wifi e poi vai con il Wi-Fi pubblico?

• Se devi effettuare il login usando un dispositivo wireless, assicurati di chiudere la sessione quando lasci una rete di cui ti fidi (anche se hai usato una connessione cablata). Suggerisco non solo di disconnettersi ma anche di utilizzare gli strumenti / componenti aggiuntivi del tuo browser per cancellare tutto ciò che riguarda il sito in questione all'uscita e chiudere il browser. Ciò si occuperà dei tentativi accidentali di ricaricare la pagina.

• registrazione con un ID utente che non usi altrove
• usando uno pseudonimo (o se non riesci a farla franca con una versione errata / non comune / abbreviazione del tuo nome)
• utilizzando un indirizzo email che non usi per nient'altro (e se esegui un dominio personale, idealmente uno che non è nel tuo dominio).

Questi tre sono circa due cose, entrambe che non permettono di divulgare i dati personali a qualcuno che dirotta una sessione e leggono i dettagli del tuo account: Non consentire all'aggressore di impersonare te (oltre i confini del sito / della comunità associata; e non permettere loro di impersonare qualcuno che non sia il sito in questione (in qualsiasi cosa a te indirizzata) senza sollevare i tuoi sospetti.

Se ti connetti attraverso una rete wireless, io non la penso così. Tutto può essere annusato se il traffico è in chiaro. Se il sito non è sicuro, penso sempre che ci sia qualche attacco da eseguire. Spiacente, niente da fare.