Получение “сеансовых куки”, в то время как на незашифрованном Wi-Fi [дубликат]
Возможный дубликат:
На незашифрованном общедоступном Wi-Fi, какая реальная опасность - я в?
Поиск информации о получении сеансовых куки при соединении с незашифрованным Wi-Fi.
Что может быть сделано с ними и т.д.?
Дайте информацию о вопросе и избегайте, чтобы ответы как "использование vpn" или "не соединялись с незашифрованным Wi-Fi".
Спасибо.
Обновление: Отредактированный для лучшего определения объема.
Update2: Для будущих искателей я нашел эти очень интересные статьи. У них есть хорошая информация о предмете. http://blogs.computerworld.com/17338/some_thoughts_on_blacksheep_and_firesheep
4 ответа
1) Незашифрованный Wi-Fi обычно означает "открытое" соединение такой как, что используется в Макдоналдсе и многих местоположениях. Когда Wi-Fi открыт, обычно, для всех возможно видеть то, что все остальные делают. Когда Вы входите в веб-сайты, веб-сайт обычно помнит Вас путем сохранения cookie на машине.
Так, получение сеансовых куки в основном означает красть cookie и вставлять его к активной сессии в другом месте для обманывания сервера в к размышлению, что Вы - человек, который вошел в систему.
2) Входы и выходы? :S - хорошо, я думаю, что покрыл его в первой части - Небезопасный Wi-Fi удобен, но по его характеру, это небезопасно.
Вы говорите, отфильтровывают ответы об использовании VPN, но это - честно решение - зашифрованный туннель к надежной сети. Много точек доступа Wi-Fi полностью поддерживают клиентов VPN и даже дают Вам файлы конфигурации бесплатно (пример - клиент VPN BT Openzone для Великобритании).
WPA2 базировался, сети делают лучшее задание при изоляции соединений друг от друга, но это все еще имеет, это - проблемы и hackable кем-то, кто знает то, что они делают.
Единственная действительно (по моему скромному мнению), безопасная опция является основанными на сертификате сетями Wi-Fi, но кроме на крупных предприятиях с инфраструктурой для поддержки ее Вы просто не видите его каждый день.
Для ответа на второй вопрос решением может быть прокси-сервер, который использует SSL.
Другим решением является плагин Firefox под названием HTTPS Везде, который пытается вызвать соединения SSL.
Если Вы не надеетесь изменять трафик, Вы могли бы попытаться использовать Blacksheep. Это - плагин, который обнаруживает получение cookie Сеанса HTTP, но не предотвращает его.
Арендованная VPN. Серьезно. Ваш профиль не говорит, где Вы, но в США существуют некоторые подписка сервисы VPN, которые сделают точно, в чем Вы нуждаетесь без того, что вы имели необходимость развернуть Ваш собственный сервер. PublicVPN является тем, которого я знаком с и счастливый покупатель. $7/месяцев, month-at-a-time, и никакое требование для возобновления.
Другая опция состояла бы в том, чтобы использовать хороший-ol' SOCKS + ssh прием. (Надо надеяться, никто не пошлет спам, та страница снова как он была, когда я нашел его от Google - были некоторые странные div при затемнении фактического содержания, но я зафиксировал его путем получения учетной записи на той Wiki, добавив ?action=history к URL, идя в предыдущий пересмотр, нажимая "редактирование", и сохраняя, что старая версия как новая версия.)