Se un hacker esegue una copia di tutti i miei cookie di navigazione, cosa potrebbe fare con quello? Quali sono gli scenari peggiori?
Dipende da cosa c'è nel tuo cookie e da come l'applicazione web lo usa. Diciamo che è il tuo id / cookie di sessione (che non hai disconnesso), potrebbe rappresentare la tua identità. Ciò significa che può andare a fare quello che vuole, a seconda dell'applicazione web, inclusa la modifica della password e il controllo dell'account.
Questo varia a seconda dei siti che usi e di come li trattano. Nella maggior parte dei casi in cui non è necessario accedere al ritorno su un sito, la persona che ha copiato i cookie riceverà lo stesso trattamento.
Quanto bene ciò viene implementato varia tra i siti. Potrebbe essere brutto come memorizzare la tua password reale nel cookie (rara, ma non mai vista) o come fornire un cookie unico per ogni accesso e fornire uno strumento per revocare singole o tutte le sessioni.
Molte implementazioni revocheranno l'accesso a una modifica della password e richiedono che venga fornita la vecchia password per impostare una nuova password, fornendo così un modo per riconquistare il controllo.
Il nocciolo del problema è che un server web sta creando attendibilità sulla base dei cookie che sono sotto controllo di:
http
. Tra gli scenari peggiori hai:
bob
, per errore o edizione dei tuoi cookie, ottieni accesso come alice
al server web e quindi a alice
data, bob
al suo server web, bob
ma con una storia falsa di altri server Web visitati, creando quindi una storia falsa di bob
di navigazione
( bob
arrivato su linkedin.com
reindirizzato da big-dick.com
). Leggi altre domande sui tag cookies web-browser