标签：google-app-engine spring-security security java spring-mvc

我正在阅读大约Firesheep,想知道如何保护Spring MVC 3.0站点免受如下攻击：

It’s extremely common for websites to
protect your password by encrypting
the initial login, but surprisingly
uncommon for websites to encrypt
everything else. This leaves the
cookie (and the user) vulnerable. HTTP
session hijacking (sometimes called
“sidejacking”) is when an attacker
gets a hold of a user’s cookie,
allowing them to do anything the user
can do on a particular website. On an
open wireless network, cookies are
basically shouted through the air,
making these attacks extremely easy.

Spring MVC中是否有特定的配置设置可以帮助抵御这种攻击？

根据这篇文章：

The only effective fix for this
problem is full end-to-end encryption,
known on the web as HTTPS or SSL.

我有一个Spring网站,该网站正在Google App Engine上运行.如果要避免这种攻击,是否意味着我需要使用Google帐户身份验证而不是Spring提供的内置身份验证？

解决方法:

firesheep的全部要点是身份验证机制不是唯一的问题.大多数系统使用HTTPS保护身份验证步骤,但不保护随后与用户的交互.无论使用哪种身份验证机制,都应确保所有涉及登录用户的交互都通过HTTPS进行.在App Engine中,这是可能的,但前提是您必须提供应用的appspot域(myapp.appspot.com).

标签：google-app-engine,spring-security,security,java,spring-mvc
来源： https://codeday.me/bug/20191105/1997226.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。