Rubare document.cookie dal dominio Google, si tratta di una violazione della privacy?

Naviga le tue risposte
3

Quando ho effettuato l'accesso a Google e stampato document.cookie, ho potuto vedere i seguenti cookie. Il mio dubbio è che cosa può fare un aggressore se l'attaccante può rubare questi cookie della vittima usando lo sfruttamento di alcune vulnerabilità come XSS? Questo può essere considerato come violazione della privacy? (Penso che possano ottenere la cronologia di navigazione della vittima, per favore correggimi se sbaglio) 

.google.com TRUE    /   FALSE   1471942336  PREF    ID=84678a35588b1188:U=9b6b2ee8558b7923:FF=1:LD=en:TM=1408811421:LM=2408870337:GM=1:S=5fOkt0gjybaO4t48
.google.com TRUE    /   FALSE   0   SID DQABBBAAEBAAAZdehBqmKnR-Sp5mfXSGwwDMtHLgyKm09sQBMsaMn0qOcsjn8Ddivbb80BCBbi11Jtg1H3Wy-EvjYH1AneL8aG9frhTl9cZ33Ba2bW3L0ARyQN_Zbvpdvtd3KtEj6p1783XXFbnp-uWFHD9lqBDyvmln7bg1vdeINZm9vu1PmwMr0Do6_X9FQWOL1yLjhhnt5eWTeQMXdKgovm4xRkF9PlFR9KBIqtDMphCFx8bmB7M7oa4z5MXlHlmInAgfdEKGvA3C9euewCH0kFi2D1xpGFfjXmCHeYzsWxFAjtWbsxuSWqqMI2MDErDzMArN160A2Gouxwzpz0r4NKKiWHJwGxBMwomarSEt9Pr5fwEI_dPaX27wSQ
.google.com TRUE    /   FALSE   0   APISID  Py_WwXqgR7fa7RBeY/ASRXSmnMAGWYP-fesUq
.google.com TRUE    /   TRUE    0   SAPISID _FcGfSR_PII9LYQvUa/AdsSewK7WmKEzKGNmc
    
posta aMa 17.02.2015 - 10:32
fonte

2 risposte

3

Bene, anche se Google fosse vulnerabile a XSS, ciò non costituirebbe una violazione.

Perché? A causa del flag HTTPOnly . È la grande ragione della caduta di XSS.

Puoi dire che esistono due tipi di cookie:

  1. quelli che il browser ottiene quando riceve una risposta HTTP da un server remoto (come google.com). Sono nella parte Set-Cookie della risposta.

  2. cookie impostati da JavaScript in modo dinamico dopo aver aperto la pagina Web, che può quindi essere letti dal tuo browser.

Cos'è la bandiera HTTPOnly? È una bandiera su un cookie, il che significa che rientra rigorosamente nella prima categoria solo , e non nella seconda. Cioè I cookie HTTPOnly possono essere letti dal browser solo come parte della risposta HTTP, JavaScript non ha accesso ad essi.

Ecco perché, quando usi document.cookie , che si tratti di uno scenario XSS o meno, ottieni solo i cookie non HTTPOnly. Di solito non c'è nulla di importante memorizzato in questi; tutti i webmaster esperti e esperti di sicurezza mantengono i cookie di sessione come HTTPOnly.

    
risposta data 17.02.2015 - 16:07
fonte
0

Possono accedere facendo finta di essere te, il tuo cookie è fondamentalmente il token che il server ti ha dato in modo da poter rimanere loggato. Questo significa accedere a tutti i servizi di google registrati nel tuo account. Se questi sono i tuoi veri valori dei cookie, dovresti disconnetterti dal tuo account Google il prima possibile ..

EDIT: non ho notato che hai detto di aver scaricato i cookies tramite javascript e non dalla richiesta grezza, il mio male

    
risposta data 17.02.2015 - 14:07
fonte

Leggi altre domande sui tag

Vantaggio della firma di gruppo sulla firma singola Un ID sessione dovrebbe mai essere inviato su una connessione non criptata?