Non è pericoloso che qualsiasi programma possa accedere ai cookie di un browser?

4

Ad esempio, per Firefox i cookie vengono mantenuti come un DB SQLite nella cartella dell'utente. Qualsiasi programma può leggere questi cookie. Quindi, ad esempio, un programma .exe non può leggere il contenuto di un cookie e fingere sul sito web di quel cookie come se fosse l'utente che ha effettuato l'accesso e iniziare a inviare richieste per conto di quell'utente?

    
posta Canol Gökel 03.01.2018 - 22:40
fonte

2 risposte

7

Espandere Il commento di Robert , dal momento in cui hai un programma dannoso in esecuzione sul tuo computer, l'utilizzo dei cookie non è la cosa peggiore che possa fare per te.

Può, tra l'altro:

  • Aggiungi un certificato alla tua macchina e modifica i record DNS. Ora, quando ti connetti al link , raggiungi i server di un utente malintenzionato e il suo sito Web assomiglia molto al tuo sito web bancario quando ti viene richiesto per una password.

  • Registra la tua tastiera, in particolare la parte in cui inserisci le tue credenziali, che di solito cambiano meno frequentemente dei cookie di sessione.

  • Se la macchina infetta è il tuo smartphone (o può infettare il tuo smartphone tramite LAN), può anche monitorare gli SMS che ricevi, annullando la sicurezza fornita dall'autenticazione a 2 fattori.

  • Agisci come un ransomware, ovvero trascrivi i tuoi backup, cripta tutti i tuoi file e chiedi di trasferire $ 10.000 su un conto bancario nel caso in cui desideri riavere i tuoi file (dato che quando paghi, non otterrai il tuo file indietro comunque).

Quindi può accedere ai tuoi cookie? Sì, può. Questo può causare di per sé qualche danno, dal momento che un'applicazione abilmente scritta che ha accesso ai tuoi cookie può far finta che sia tu in realtà quando accedi a un sito web a cui hai avuto accesso prima o che stai facendo al momento.

Come succede? Spesso i siti Web si affidano ai cookie per l'autenticazione. Probabilmente non vuoi reinserire le tue credenziali su ogni pagina, quindi una volta effettuato l'accesso, il sito Web chiede al browser di ricordare un cookie di sessione; sul lato server, l'identificatore all'interno di questo cookie è associato a un gruppo di dati, compreso quello che indica che l'utente 91313f91-c7dd-4f8e-8e88-24c08d162f53, è stato precedentemente collegato utilizzando l'account di Canol Gökel. Qualsiasi richiesta al server che contiene un cookie di sessione contenente 91313f91-c7dd-4f8e-8e88-24c08d162f53 in esso sarà associata all'account di Canol Gökel e il server non è in grado di sapere se la richiesta proviene da un utilizzo legittimo del sito tramite il browser o il falso da un'applicazione dannosa.

Se i cookie scadono non appena si chiude il browser, potrebbe ¹ proteggerti da un'applicazione dannosa che verrà eseguita in futuro; sebbene, non farà nulla contro l'app dannosa che viene eseguita nello stesso momento in cui stai navigando nel tuo sito web.

Quindi:

  • Non eseguire codice non affidabile sul tuo PC.

  • Se si desidera eseguire codice non affidabile, creare una macchina virtuale. Esegui il codice all'interno. Getti via la macchina virtuale.

  • Esegui il codice semi-attendibile dagli account che hanno privilegi limitati. I cookie vengono memorizzati in un modo in cui solo il tuo account può accedervi, basta passare a un altro account dovrebbe essere sicuro.

¹ Nota che il fatto che tu (o il tuo browser) abbia cancellato un file non significa che non possa essere recuperato in seguito. Pertanto, anche se hai lanciato l'app dannosa dopo aver rimosso tutti i cookie e chiuso il browser, potrebbe comunque accedere ad alcuni dei tuoi cookie.

    
risposta data 03.01.2018 - 23:20
fonte
2

La sicurezza è una questione di gradi e aspettative ragionevoli.

Tutti i veri sistemi multiutente (Windows NT, Unixoids, ...) cercano di assicurarsi che i programmi di un utente non interferiscano con i dati e i programmi di altri utenti.

Anche se generalmente consentono anche una maggiore protezione (utilizzando servizi in esecuzione da un account diverso, ad esempio l'account di sistema), è piuttosto ingombrante e non progettato per l'implementazione generale. Il problema è che l'interfaccia deve essere rigorosamente definita, completa, ma comunque strettamente protetta.

Quindi, guarda la sicurezza attraverso l'oscurità, che già di per sé è un'idea cattiva e molto fragile, è abbastanza impossibile in open-source.

Quindi, considera di chiedere all'utente una password per ogni programma, avviare per decifrare i tuoi dati, con l'avvertenza che contemporaneamente programmi in esecuzione dello stesso utente sarebbero ancora in grado di estrarre il segreto dalla memoria del processo.

Quindi, alla fine, dopo esserci esauriti nel tentativo di proteggere ulteriormente il lato client, ci sono tecniche di mitigazione per il sito web stesso, vale a dire l'identificazione e la password vincolanti in qualche modo sull'indirizzo di rete dei client e / o altri indicatori identificativi potrebbe fuoriuscire. In questo modo, lo sfruttamento delle credenziali effimere rubate è piuttosto limitato.

    
risposta data 03.01.2018 - 23:19
fonte

Leggi altre domande sui tag