¿Cómo puede un usuario defenderse contra el secuestro de una sesión?

Aquí hay algunas sugerencias. Sin embargo, nada de esto le dará el mismo nivel de seguridad que TLS.

• No uses el sitio a menos que realmente tengas que hacerlo. Pero como preguntas, supongo que sí.
• Si lo visitas, usa una VPN (o Tor) con la mayor frecuencia posible. Un atacante tendría que estar en medio de su salida de VPN y el servidor en cuestión, lo que es más difícil que estar en medio de usted y el servidor (pero no imposible, especialmente para un gobierno - o el proveedor de la VPN / Nodo de salida Tor ...).
• Si no usa una VPN, al menos no la use a través de Wi-Fi. Eso es mucho más fácil de oler que una red de cable.
• Manténgase conectado durante el menor tiempo posible, y siempre cierre la sesión cuando haya terminado. No marque la casilla "Recordarme".
• A menos que la página de inicio de sesión sea más de HTTPS, debería preocuparse más por su contraseña que por su ID de sesión ... Si la página de inicio de sesión es más de HTTPS, siempre verifique que tenga una conexión segura para no ser víctima de SSL-tira.

Dependiendo de la probabilidad de que pienses que serás el blanco de un ataque, esto puede o no ser suficiente. Me temo que no hay mucho más que puedas hacer.

Un vpn solo protege su sesión hasta el punto en el que sale del vpn - ssl es exactamente el mismo, pero el túnel se extiende al sitio al que se está conectando. Por lo tanto, cuando accede a un sitio http utilizando una vpn, solo está protegido contra un ataque en su red local y algunos saltos a lo largo.

Si su descripción es precisa y hay datos confidenciales que se transmiten en cualquier dirección, entonces estas personas son idiotas que ignoran el deber de cuidar a sus clientes. Pero hay sitios que no intercambian información confidencial con su navegador.

TLS es solo parte de los controles de seguridad que debe implementar un sitio web. No sé por qué sientes la necesidad de proteger su identidad.

Los administradores de sitios con alto tráfico y bajo valor agregado generalmente odian el HTTPS, ya que utiliza muchos más recursos y los recursos cuestan dinero. Por lo tanto, siempre hay un equilibrio entre la sensibilidad de los datos intercambiados y el costo de su protección. Solo se debe pasar una contraseña a través de HTTPS, por lo que queda, el administrador de datos es responsable de su decisión.

La mejor manera de mitigar el riesgo de secuestro de sesión es cerrar sesión explícitamente cuando ya no está conectado activamente al sitio para que el servidor rechace el token de sesión que comienza en ese momento. Además, el administrador del sitio se alegrará porque no permitirá que las sesiones no utilizadas consuman recursos ...

Si es posible, canalice su tráfico a través de una máquina confiable. Tengo un servidor SSH en casa con el que puedo hacer un túnel si estoy en una red que no es de confianza. Si bien alguien podría en teoría mitigar su servidor SSH a través de Internet, es mucho más difícil y mucho menos probable que una máquina local en una red pública o una red que, como usted dice, "no sea sorprendente" para ser detectada. >

También podría, como han dicho otros, utilizar un servicio VPN / tunnel / proxy de terceros. Estos varían en calidad y costo, y aunque personalmente confío en mi propia máquina más que en un servicio de terceros, esto puede ser más práctico para usted.

Usted dice poco sobre el sitio en cuestión y los servicios que ofrece, pero otros pasos que podrían valer la pena tomar son:

• (una obvia es esta) usando una contraseña segura, aleatoria y totalmente única, incluso si no sigue esta práctica recomendada normalmente. Han demostrado que no se puede confiar en la seguridad, por lo que son candidatos principales para las filtraciones de contraseña.

• No está utilizando una aplicación que proporcionan: ¿Podría confiar en que se desconecte? ¿Qué sucede si ha iniciado sesión en su propio wifi y luego va a algún lugar con wifi público?

• Si tiene que iniciar sesión con un dispositivo inalámbrico, cierre la sesión cuando abandone una red en la que confíe (incluso si usó una conexión por cable). Sugiero no solo cerrar la sesión, sino también usar las herramientas / complementos de su navegador para borrar todo lo relacionado con el sitio en cuestión al salir y cerrar el navegador. Esto tratará los intentos accidentales de recargar la página.

• registrarse con un ID de usuario que no use en ningún otro lado
• usar un seudónimo (o si no puede salirse con la suya con una versión mal escrita / no común / abreviatura de su nombre)
• utiliza una dirección de correo electrónico que no usa para nada más (y si ejecuta un dominio personal, idealmente uno que no está en su dominio).

Estas tres cosas se tratan de dos cosas, ya que no se permite que sus datos personales se filtren a alguien que secuestra una sesión y se leen los detalles de su cuenta: no se permite que el atacante se haga pasar por usted (más allá de los límites del sitio / comunidad asociada); y no les permite hacerse pasar por otra persona que no sea el sitio en cuestión (en cualquier cosa que se le envíe) sin levantar sospechas.

Si te conectas a través de una red inalámbrica, no lo creo. Todo puede ser olfateado si el tráfico es sencillo. Si el sitio no es seguro, creo que siempre hay algún ataque que realizar. Lo siento, no hay nada que hacer.