К сожалению, единственный способ предотвратить использование куки при повторной атаке - это отправить их через HTTPS, поскольку это гарантирует, что сам куки зашифрован и, следовательно, защищен от посторонних глаз.
Вы видели запись в блоге Джеффа Этвуда по этому поводу, Взлом баночки с печеньем в Интернете ?Джефф больше фокусируется на проблемах с точки зрения пользователя , но в любом случае его стоит прочитать.Вот что он говорит, что люди могут сделать сегодня:
Итак, вот что вы можете сделать, чтобы защитить себя прямо сейчас, сегодня:
Мы должны быть очень осторожныкак мы просматриваем в незашифрованных беспроводных сетях.
Получите привычку получать доступ к вашей веб-почте через HTTPS.
Лоббировать сайты, которые вы используете, чтобы предлагать просмотр HTTPS.
Это очень широкий совет, и есть целый ряд технических предостережений длявыше.Но это отправная точка для евангелизации рисков и ответственного использования открытых беспроводных сетей.
Вероятно, нужен какой-то новый, более безопасный подход для продвижения файлов cookie, но кто знает, будут ли онихватит тяги, чтобы оправдать такое изменение, или достаточно интереса, чтобы отвергнуть усыновление.Для веб-приложений, где безопасность имеет первостепенное значение - например, сайты медицинской информации, финансовые сайты и т. Д. - единственно возможный вариант - это использовать HTTS для всего сеанса просмотра пользователем.