Нужно ли использовать аутентификацию аккаунта Google вместо аутентификации Spring, чтобы избежать атаки Firesheep с перехватом файлов cookie?

Question

Я читал о Firesheep и задавался вопросом, как я могу защитить свой сайт Spring MVC 3.0 от таких атак:

Веб-сайты очень часто защищают ваш пароль с помощью шифрованияпервоначальный вход в систему, но на удивление редко веб-сайты шифруют все остальное.Это делает куки (и пользователя) уязвимыми.Перехват HTTP-сессии (иногда называемый «перехватом») - это когда злоумышленник получает куки пользователя, позволяя ему делать все, что пользователь может сделать на определенном веб-сайте.В открытой беспроводной сети файлы cookie в основном выкрикиваются по воздуху, что делает эти атаки чрезвычайно легкими.

Существуют ли в Spring MVC конкретные параметры конфигурации, которые могут помочь защитить от такого рода атак?

Согласно статье:

Единственным эффективным решением этой проблемы является полное сквозное шифрование, известное в Интернете как HTTPS или SSL.

У меня есть сайт Spring, который я запускаю на Google App Engine.Означает ли это, что мне нужно использовать аутентификацию аккаунта Google, а не встроенную аутентификацию, предоставляемую Spring, если я хочу избежать такого рода атак?

Answer 1

Суть firesheep в том, что механизм аутентификации - не единственная проблема. Большинство систем защищают этап аутентификации с помощью HTTPS, но не последующие взаимодействия с пользователем. Независимо от того, какой механизм аутентификации вы используете, вы должны убедиться, что все взаимодействия с участием вошедших в систему пользователей происходят по протоколу HTTPS. Это возможно в App Engine, но только если вы обслуживаете домен приложения appspot (myapp.appspot.com).

Answer 2

Вам необходимо настроить HTTPS-рукопожатие с веб-сервером, не совсем уверенный, как это делается в Google App Engine, , но, по-видимому, это возможно. Вот еще немного информации.