È possibile evitare l'attuale Firesheep tramite uno schema di "sicurezza attraverso oscurità" che coinvolge l'autenticazione tramite la gestione dinamica delle sessioni come discusso qui . Puoi utilizzare "Autenticazione del digest" ( RFC 2617 ), ma è ancora vulnerabile a un attacco MITM, peggiora l'esperienza dell'utente e richiede al server di memorizzare la password (o una password equivalente) in chiaro.
Ma evitare SSL / TLS non aggirerebbe i due problemi fondamentali che senza crittografia: (1) tutto il contenuto privato è condiviso in aperto, e (2) un determinato attaccante potrebbe capire il tuo schema e sconfiggerlo.
Guarda alcuni esempi di attacchi attivi, mitiga le prestazioni sanzionate e consigli specifici sulla distribuzione di SSL da EFF: Come distribuire correttamente HTTPS . Nota anche la meta discussione Overflow dello stack su perché non è stato corretto su Stack Overflow (ancora).
Si noti che l'esposizione per i siti comuni è peggiore di quanto pensassi inizialmente. Per esempio. nota questa ruga come l'autore di Firesheep spiega in un ottimo post
You can’t simply avoid visiting the
sites that are being attacked here.
There’s an enormous amount of mixed
content on the web today, such as the
Facebook “Like” button, Digg’s “Digg
It” button, twitter widgets, and even
embedded images that are hosted on
Flickr or other photo sharing sites.
Every time you access any web page
that includes any of this content,
your browser also sends any
authentication cookies you have with
the request to pull down the widget.
Puoi almeno correggere gli errori che discute lì (come in realtà invalidare i cookie di sessione quando un utente si disconnette !!).
Puoi anche consigliare ai tuoi utenti su come proteggersi da questi attacchi di "sidejacking", ad es. per utilizzare una VPN o trovare una rete WPA2 wifi (ma vedere i problemi WPA2 qui ).
Grazie a @ D.W. per un collegamento con l'approccio ad interim ben pensato che ho visto: SessionLock Lite di Ben Adida. Previene almeno i dirottamenti persistenti da parte di attaccanti passivi: Benlog »continua le tue mani dai miei cookie di sessione . Semplicemente non fermarti qui - progetta una distribuzione SSL ....