我正在阅读有关Firesheep的信息,并且想知道如何保护Spring MVC 3.0站点免受以下攻击:

网站极其常见
通过加密保护您的密码
初始登录,但令人惊讶的是
网站加密的情况很少见
其他一切。这留下了
Cookie(和用户)容易受到攻击。 HTTP
会话劫持(有时称为
“sidejacking”)是攻击者
持有用户的Cookie,
允许他们为用户做任何事情
可以在特定网站上进行。在
开放的无线网络,cookies
基本上是在空中大喊
使这些攻击变得非常容易。

Spring MVC中是否有特定的配置设置可以帮助抵御这种攻击?

根据这篇文章:

唯一有效的解决方案
问题是完整的端到端加密,
在网路上称为HTTPS或SSL。

我有一个Spring网站,该网站正在Google App Engine上运行。如果要避免这种攻击,是否意味着我需要使用Google帐户身份验证而不是Spring提供的内置身份验证?

最佳答案

firesheep的全部要点是认证机制不是唯一的问题。大多数系统使用HTTPS保护身份验证步骤,但不保护随后与用户的交互。无论使用哪种身份验证机制,都应确保所有涉及登录用户的交互都通过HTTPS进行。在App Engine中,这是可能的,但前提是您必须提供应用的appspot域(myapp.appspot.com)。

10-05 23:10
查看更多