ユーザーはどのようにしてセッションハイジャックを防ぐことができますか?
さまざまなセキュリティ上の欠陥があるWebサイトを考えると、それらの1つはセッションハイジャックであり、セッショントークンはセキュリティ保護されていないHTTPを介して引数として継続的に送信されます。私の分野では、他の人が私が使用しているネットワークを盗聴しているのは当然のことなので、このサイトの所有者に連絡して脆弱性を通知し、TLS暗号化を使用するよう提案しました。一部の傲慢な男は、彼らはそれをよく知っていて、それはとにかく私のビジネスではない、と答えました。
このサイトにアクセスするときに常にVPNを使用できるとは限らないので、通常のユーザーとしての私の質問は、他の人がセッションを盗むのを防ぐ信頼できる方法はありますか?
ここにいくつかの提案があります。ただし、これではTLSと同じレベルのセキュリティは提供されません。
- 本当に必要がない限り、サイトを使用しないでください。しかし、あなたが尋ねたので、私はあなたがそうすると思います。
- アクセスする場合は、できるだけVPN(またはTor)を使用してください。攻撃者はあなたのVPN出口と問題のサーバーの真ん中に侵入する必要があります。これはあなたとサーバーの真ん中に侵入するよりも困難です(ただし、特にそうではないわけではありません。ガバナンスやVPN/Tor出口ノード...)。
- VPNを使用しない場合は、少なくともWi-Fi経由で使用しないでください。これはケーブルネットワークよりもずっと簡単に盗聴できます。
- できるだけ短い時間ログインしたままにし、終了したら常にログアウトします。 「覚えておく」のボックスはチェックしないでください。
- ログインページがHTTPSを介していない限り、パスワードよりもセッションIDについて心配する必要があります。ログインページがHTTPSを介している場合は、SSLの被害を受けないように、安全な接続があることを常に確認してください。ストリップ。
自分が攻撃の標的になる可能性がどの程度あるかによって、これで十分な場合とそうでない場合があります。他にできることは他にないのではないでしょうか。
VPNは、VPNを終了するポイントまでセッションを保護するだけです。SSLはまったく同じですが、トンネルは接続しているサイトまで延長されます。したがって、vpnを使用してhttpサイトにアクセスすると、ローカルネットワークへの攻撃とそれに伴ういくつかのホップからのみ保護されます。
説明が正確で、いずれかの方向に機密データが渡されている場合、これらの人々は、顧客への注意義務を無視しているばかです。しかし、あなたのブラウザとセンシティブを交換しないサイトがあります。
TLSは、Webサイトが実装する必要があるセキュリティ制御の一部にすぎません。なぜあなたは彼らのアイデンティティを保護する必要性を感じているのか分かりません。
トラフィックが多く、付加価値が低いサイトの管理者は、通常、HTTPSを嫌います。これは、より多くのリソースを使用し、リソースに費用がかかるためです。したがって、交換されるデータの機密性とその保護のコストの間には常にバランスがあります。パスワードはHTTPS経由でのみ渡す必要があります。残っているものについては、データ管理者が彼の決定に責任があります。
セッションハイジャックのリスクを軽減する最良の方法は、サイトにアクティブに接続されなくなったときに明示的にログアウトして、その時点から開始するセッショントークンをサーバーに拒否させることです。さらに、リソースを消費する未使用のセッションを許可しないため、サイト管理者は喜んでいます...
可能であれば、トラフィックを信頼できるマシンにトンネルします。自宅にSSHサーバーがあり、信頼されていないネットワークを使用している場合にトンネルを通過できます。理論的には誰かがインターネット上でSSHサーバーをMitMする可能性がありますが、それは、パブリックネットワークまたはローカルネットワークのマシンよりもはるかに難しく、はるかに可能性が低いと言えます。
他の人が言ったように、サードパーティのVPN /トンネル/プロキシサービスを使用することもできます。これらは品質とコストが異なります。私は個人的にサードパーティのサービスよりも自分のマシンを信頼していますが、これはあなたにとってより実用的かもしれません。