SSLstrip、Firesheep、および類似の攻撃からユーザーを守るための推奨事項を以下に示します。
インストール HTTPS Everywhere またはForceTLS。 (HTTPS Everywhereのほうが使いやすいです。)これにより、可能な場合は、SSLバージョンのWebサイトを使用するようにブラウザーに指示します。
ブラウザーが証明書の警告を表示する場合は、警告をバイパスせず、そのWebサイトの閲覧を続行しないでください。
オンラインバンキングなどの重要なサイトの場合は、セキュリティで保護されたネットワークを使用しながら、コンピューターからサイトのHTTPS(SSL)バージョンにアクセスし、そのページをブックマークします。次に、そのページに移動したいときにブックマークを開いて、常にサイトを開きます。アドレスバーや検索バーにアドレスを入力しないでください。
1つのサイトのみを参照する場合は、サイト固有のブラウザーの構成を検討してください。これはおそらくほとんどの目的には必要ありませんが、一部の攻撃に対するセキュリティを強化します。たとえば、オンラインバンキングを使用している企業に適している場合があります。
または、HTTPS Everywhereの代わりに、VPNサービスを介してWebブラウジングを行うことができます。
SSL(TLSとも呼ばれる)を使用し、証明書の有効性を確認するように電子メールクライアントを構成します。これにより、電子メールサーバーへの接続が確実に暗号化されます。
Firesheep、SSLstrip、および同様の攻撃からユーザーを保護するためにWebサイトが実行できることについての推奨事項を以下に示します。
サイト全体(つまりHTTPS)でSSLを有効にします。
HSTS(HTTP Strict Transport Security)を有効にします。
証明書が有効であることを確認してください。セキュリティが重要なサイトの場合は、拡張検証(EV)証明書の購入を検討してください。
セキュアなCookieを有効にします。つまり、すべてのCookieがセキュアな属性で提供されるようにします。これにより、ユーザーのブラウザーはこれらのCookieをSSLで保護された接続経由でのみ送信し、非SSL(HTTP)リンク経由でそれらを開示することはありません。
HTTP(非SSL)アクセスを無効にするか、ユーザーをWebサイトのSSLバージョンにリダイレクトします。
サードパーティのJavaScriptライブラリ、ボタンなどのウィジェットの使用を回避または最小限に抑えます。または、それらを使用する必要がある場合は、https:URLから提供され、それらをホストしているサイトが信頼できるサイトであることを確認してください。
別のトピックとして、メールサーバーの管理者は、IMAPのSSL/TLS保護を有効にする(または、すべての接続でSSL/TLSの使用を要求する)ことと、SMTPサーバーでSTARTTLSを有効にすることで、ユーザーを保護できます。
Privoxyルールの使用:
echo '{ +redirect{s@http://@https://@} }
.foo.org' >> /etc/privoxy/user.action
サイトがホワイトリストに登録されている場合、HTTPSにリダイレクトされます。この例では、www.foo.orgとfoo.org、およびsubdomain.foo.orgは、プロキシがリダイレクトするため、HTTPSのみを使用できます。 SSLStrip mitmがある場合、ページは単にロードされ、ロードされてロードされます...到達できません。これは非常に良い解決策になると思います(fixme)。