Rubare i cookie utente con flash / actionscript

Naviga le tue risposte
1

So che sto facendo una domanda stupida qui, ma perdonami, sto imparando.

Ho trovato due domande, Come posso accedere ai cookie in Flash? e Come fare un pulsante per inviare un'e-mail usando AS3 automaticamente. La mia domanda è, se creo un file flash con le funzionalità di cui sopra e caricare quel flash su alcune applicazioni web come Facebook o Twitter, idealmente sarei in grado di prendere i cookie di altri utenti nella casella di posta. Quale caratteristica di sicurezza è implementata in questi casi per impedirlo?

    
posta Anonymous Platypus 30.03.2016 - 09:06
fonte

1 risposta

1

Guardando il tuo primo link, Flash sta usando javascript per leggere il cookie. Supponendo che questo sia il modo in cui lo si implementa, si torna alle solite restrizioni sulla sicurezza dei cookie:

  • Stesse restrizioni di dominio - il browser invierà solo cookie nello stesso dominio, quindi i cookie * .foo.com verranno sempre inviati solo agli URL * .foo.com. Non saresti in grado di leggere un cookie * .facebook.com da foo.com
  • Http Only flag - il cookie verrà inviato solo tramite la connessione http / https e non è disponibile per javascript. Ciò impedirebbe alla tua app flash di leggere qualsiasi cookie con questo flag.
risposta data 30.03.2016 - 09:20
fonte

Leggi altre domande sui tag

LetsEncrypt / Exim4 / GnuTLS / cert chaining: "L'elenco dei certificati X.509 fornito non è ordinato" errore È un file di Excel protetto da password considerato sicuro rispetto a file o email crittografati