Android Snoop嗅探保护-需要吗？

Question

我有一个简单的即时消息/聊天程序。Android客户端通过HTTP向我的服务器发送用户名和消息(以及跟踪会话的JSessionID )。我想避免恶意用户以其他用户的身份发帖。

我需要担心咖啡馆里坐在用户旁边的人，窥探他们的JSessionID并以我的用户的身份发帖吗？或者，当我第一次联系服务器并最初获得我的JSessionID时，窥探出我发送到服务器的username+password？

窥探/嗅探在多大程度上是一个问题，如果是这样，我如何防止它？

Answer 1

在可公开访问的WLAN上-是的，绝对是。在3G网络上--也许吧。这是可能的，但相当昂贵，通常不适用于skript儿童。

由于您不能确定用户使用的是WLAN还是3G，您应该采取预防措施。有一些好的做法：-使用https -不要在设备上存储用户凭据(改用0auth )

在必要的时候变得多疑

Answer 2

这是一个严重的漏洞OWASP a9和它的微不足道的预防。只需确保jsessionid始终通过https传输即可。