寻找有关连接到未加密的 wifi 时捕获会话 cookie 的信息。
可以用它们做什么?等等?
请提供问题的信息,避免使用“使用 vpn”或“不要连接未加密的 wifi”之类的回答。
谢谢。
更新:编辑以更好地定义范围。
更新 2:对于未来的搜索者,我发现了这些非常有趣的文章。它们提供了有关该主题的有用信息。 http://blogs.computerworld.com/17338/some_thoughts_on_blacksheep_and_firesheep
答案1
1) 未加密的 wifi 通常意味着“开放”连接,例如麦当劳和许多地方使用的连接。当 Wifi 开放时,通常每个人都可以看到其他人的行为。当您登录网站时,网站通常会通过在您的机器上保存 cookie 来记住您。
因此,捕获会话 cookie 基本上意味着窃取 cookie 并将其放入其他地方的活动会话中,以欺骗服务器认为您是登录的人。
2)来龙去脉?:S - 好吧,我想我在第一部分已经讲过了 - 不安全的 wifi 很方便,但就其本质而言,它是不安全的。
你说要过滤掉关于使用 VPN 的答案,但说实话,这才是解决方案——通往可信网络的加密隧道。许多 wifi 热点完全支持 VPN 客户端,甚至免费提供配置文件(例如 -英国的 BT Openzone VPN 客户端)。
基于 WPA2 的网络在隔离彼此连接方面做得更好,但它仍然存在问题,并且容易被知道他们在做什么的人攻击。
唯一真正(在我看来)安全的选择是基于证书的 wifi 网络,但除了拥有支持它的基础设施的大型企业外,你每天都不会看到它。
答案2
回答您的第二个问题,解决方案可以是使用 SSL 的代理服务器。
另一个解决方案是使用名为 HTTPS Everywhere 的 Firefox 插件,它尝试强制建立 SSL 连接。
如果您不想改变流量,可以尝试使用 Blacksheep。这是一个检测 HTTP 会话 cookie 捕获但不会阻止它的插件。
答案3
租用 VPN。说真的。您的个人资料不会显示您的位置,但在美国,有一些订阅 VPN 服务可以满足您的需求,而无需您部署自己的服务器。PublicVPN 是我熟悉的 VPN,也是我的满意客户。每月 7 美元,按月付费,无需续订。
答案4
另一个选择是使用好用的SOCKS + ssh 技巧。(希望没有人会再像我从谷歌找到它时那样对该页面进行垃圾评论——有一些奇怪的东西div遮住了实际内容,但我通过在该 wiki 上注册一个帐户、附加?action=history到 URL、转到上一个修订版本、单击“编辑”,然后将旧版本保存为新版本来修复它。)