以下是我对用户如何防御 SSLstrip、Firesheep 和类似攻击的建议：

• 安装HTTPS Everywhere或 ForceTLS。（HTTPS Everywhere 更易于使用。）这会告诉您的浏览器尽可能使用网站的 SSL 版本。

• 如果浏览器向您发出证书警告，请不要绕过警告，也不要继续浏览该网站。

• 对于在线银行等关键站点，请在使用安全网络的同时从您的计算机转到该站点的 HTTPS (SSL) 版本，然后将该页面添加为书签。然后，只要您想访问该页面，请始终通过打开书签来打开该站点。切勿在地址栏或搜索栏中输入其地址。

• 如果您只浏览单个站点，请考虑配置特定于站点的浏览器。大多数情况下可能不需要这，但它会为某些攻击提供额外的安全性；例如，它可能适用于使用网上银行的企业。

• 或者，您可以通过 VPN 服务进行网页浏览，而不是 HTTPS Everywhere。

• 将您的电子邮件客户端配置为使用 SSL（也称为 TLS）并检查证书的有效性。这将确保与电子邮件服务器的连接是加密的。

以下是我对网站可以采取哪些措施来保护其用户免受 Firesheep、SSLstrip 和类似攻击的建议：

• 在站点范围内启用 SSL（即 HTTPS）。

• 启用 HSTS（HTTP 严格传输安全）。

• 确保您的证书有效。考虑为更多安全关键站点购买扩展验证 (EV) 证书。

• 启用安全 cookie，即确保所有 cookie 都带有安全属性，这样您用户的浏览器将仅通过受 SSL 保护的连接将这些 cookie 发回，而绝不会通过任何非 SSL (HTTP) 链接披露它们。

• 禁用 HTTP（非 SSL）访问，或将用户重定向到网站的 SSL 版本。

• 避免或尽量减少使用第三方 Javascript 库、小部件、按钮等。或者，如果您必须使用它们，请确保它们是从 https: URL 提供的，并且托管它们的站点是您信任的站点。

在另一个主题上，邮件服务器的管理员可以通过为 IMAP 启用 SSL/TLS 保护（或者更好的是，要求在所有连接上使用 SSL/TLS）和在他们的 SMTP 服务器上启用 STARTTLS 来保护他们的用户。

使用 Privoxy 规则：

echo '{ +redirect{s@http://@https://@} }
.foo.org' >> /etc/privoxy/user.action

如果站点被列入白名单，会将您重定向到 HTTPS。在示例中 www.foo.org 和 foo.org 和 subdomain.foo.org 只能使用 HTTPS，因为代理会重定向它。如果有 SSLStrip mitm，那么页面只会加载和加载和加载......它将无法访问。我认为这将是一个非常好的解决方案（fixme）。

当您访问 SSL 安全网站或 ssh 托管时，您接受证书。如果证书未通过公共证书颁发机构服务器或任何本地 CA 验证，您的浏览器会警告您错误的证书。因此，如果您想保护您的流量免受 ARP 攻击，您必须使用有效的 SSL 证书，并且不要浏览有关无效证书的警告网站。使用 SSH，如果证书被更改，SSH 将通知您有关公钥更改的信息。

SSLStrip 仅重定向到页面的 http 版本。从服务器端，您可以引入诸如“您的浏览器已被劫持”或类似信息的消息或图像。如果您处于受控环境中，则可以使用内联透明 Web 代理来处理，该代理以这种方式替换所有 http 内容。类似于 forcetls 等答案，但在服务器端处理问题。这样，您就不必担心 pebkac 和未经授权的设备。只是一些想法。