Mitigare l'attacco "firesheep" allo strato di networking?

Quali sono i pensieri di sysadmin per mitigare l'attacco "firesheep" per i server che gestiscono?

Firesheep è una nuova estensione firefox che consente a chiunque lo installa alla session sidejack che possa scoprire. È la scoperta sniffando i pacchetti sulla networking e cercare i cookie di session da siti conosciuti. È relativamente facile scrivere i plugin per l'estensione per ascoltare i cookie da siti aggiuntivi.

  • Perché non dovrei servire il mio webapp Java direttamente con Tomcat?
  • Standard industriale per più nodes app su un unico VPS?
  • Quali sono i migliori strumenti di amministrazione basati su browser per Linux?
  • Modifica di un'intestazione Set-Cookie usando mod_rewrite / mod_proxy
  • Qual è la differenza tra il monitoraggio, il tracciamento e la profilazione?
  • Progettazione di un protocollo TCP asincrono persistente
  • Da una prospettiva di sisthemes / networking, abbiamo discusso della possibilità di crittografare l'integer sito, ma questo introduce un carico aggiuntivo su server e viti con indici di sito, risorse e performance generali.

    Un'opzione che abbiamo indagato è utilizzare i nostri firewall per fare SSL offload, ma come ho già detto, questo richiederebbe che tutto il sito venisse crittografato.

    Quali sono i pensieri generali sulla protezione contro questo vector d'attacco?

    Ho fatto una domanda simile su StackOverflow, tuttavia, sarebbe interessante vedere cosa pensavano gli ingegneri dei sisthemes.

  • Convenzioni di interni di Enterprise Enterprise
  • Quali sono alcuni buoni sisthemes di biglietteria basati su web?
  • C'è un'applicazione web open source per monitorare l'attività del server sql?
  • Equivalente di phpMyAdmin per MSSQL?
  • Perché i "bots di configuration degli hacker" ripetono più volte i moduli web?
  • Che cosa provoca un errore di errore di 400 errori per null ("") e perché i nostri log di nginx hanno tanti?
  • 5 Solutions collect form web for “Mitigare l'attacco "firesheep" allo strato di networking?”

    Finché i dati di session vengono passati in chiaro tra server e client, siete vulnerabili a un qualche tipo di dirottazione su reti non protette. La natura apolida di HTTP garantisce praticamente chiunque con i tuoi dati di session può fingere di essere voi al server.

    Quindi che si fa? È necessario passare saldamente le informazioni sulla session dal server al client, senza che gli eavesdroppers possano intercettarla. Il modo più sicuro e semplice è quello di rendere il tuo sito tutto HTTPS, cioè nessun traffico non crittografato. Questo è molto facile da implementare, in quanto non è necessario modificare l'applicazione, solo i server. L'inconveniente è che aumenta il carico sui server.

    Se questa non è un'opzione, allora è necessario in qualche modo oscurare i dati di session che il server passa al client. E il client ha bisogno di alcuni script per "de-obfuscare" i dati della session per passare al server sulla richiesta successiva. Sì, questa è la "sicurezza attraverso l'oscurità", e tutti sanno che non funziona. Salvo quando lo fa. Fino a quando il tuo sito non è un target di alto valore, oscurando i dati della session, gli utenti casuali di questa cosa "firesheep" rischiano di ingannare i tuoi utenti. Solo quando / se il tuo sito ottiene sul radar di qualcuno disposto a invertire l'ingegnerizzazione del tuo obfuscio, questa tecnica di mitigazione fallirà.

    Perché dovresti crittografare l'integer sito?
    Basta impostare un sottodominio, login.yourcompany.com, crittografare quel bit, impostare la bandiera protetta sul cookie (smetta di passare a qualcosa di diverso da un canale protetto) e impostare il server di login con una fiducia interna (tuttavia vuoi farlo è a voi) al resto dell'applicazione.

    Vedi la proposta / codice di Ben Adida per "SessionLock Lite". Esso non offre alcuna protezione contro attacchi attivi o intercettazioni ed è vulnerabile agli attacchi di breve durata. Ma potrebbe aiutare nel termine immediato mentre si ingegnerà una vera soluzione SSL: http://benlog.com/articles/2010/10/25/keep-your-hands-off-my-session-cookies/

    Le credenziali dovrebbero essere sempre crittografate, mai passate in chiaro. Cosa c'è di così?

    Da una prospettiva amministrativa locale:

    Per far funzionare una networking cablata, l'attaccante dovrà eseguire avvelenamenti ARP sull'infrastruttura dell'interruttore. Il traffico verso e da altri computer non arriverà mai al PC degli attaccanti, a less che non utilizzino la networking innanzitutto.

    Da una prospettiva del fornitore di servizi:

    Vorrei che il mio sito, o alless qualsiasi traffico di authentication o cookie sia SSL crittografato.

    Dalla prospettiva di un utente finale:

    Vorrei che il provider mantenga la mia session sicura, quindi non dovrei nemless pensare a digitare "https: //". Deve costringermi a essere al sicuro.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.