Gli altri programmi sul mio PC possono accedere al mio account Google tramite i cookie dei browser Web?

12

Sono curioso di sapere se è possibile che altri programmi sul mio Windows 7 accedano a Gmail, dato che ho già effettuato l'accesso al mio account Google in Chrome (stabile).

In caso negativo, con cosa e come vengono impediti dall'accessibilità?

La taglia è per todda.speot.is.

Se hai qualche buona risposta, farei almeno +1. XD

windows-7  google-chrome  cookies 
Per quanto riguarda la generosità, c'è qualcos'altro che vorresti che chiarissi nella mia risposta?
ta.speot.is
Proverò ad aggiornare quando il tempo lo permetterà.
ta.speot.is

Risposte:

15

Presumibilmente si. Se leggi i commenti qui implicano che Chrome non crittografa i cookie e puoi semplicemente copiare il tuo profilo utente su un altro PC e Chrome inizierà a utilizzare quei cookie.

Sostituisci "puoi semplicemente copiare il tuo profilo utente su un altro PC" con "un attacco può copiare il tuo profilo utente sul loro PC"

In alternativa, un'applicazione locale potrebbe crearne una copia. Questo thread ha uno script Python per l'esportazione dei cookie di Chrome.

Modificare:

Non so dire se la surfasbpesca a traina o semplicemente non capisca come funzioni HTTP. I cookie non crittografati sono il vettore di attacco utilizzato da Firesheep . Non importa se viene rimosso dal cavo o dal disco. Una volta che hai il cookie, sei dentro.

Ecco un piccolo esempio per "ingannare" Google nel pensare che netcat sia Chrome. Nota che a Google non importa quale sia il mio browser, solo che ho i cookie che Google mi ha fornito che mi identifica a Google.

request_nocookie.txt:

GET http://www.google.com.au/ HTTP/1.1
Host: www.google.com.au
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.112 Safari/535.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-GB,en-US;q=0.8,en;q=0.6
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

request_cookie.txtè lo stesso del precedente, ma con il mio PREF, SID, HSISD, NIDbiscotti per .google.com. Non te li mostrerò perché sono miei :)

Questi due comandi inviano le richieste a Google e quindi salvano la risposta.

type request_nocookie.txt | nc www.google.com 80 > response_nocookie.txt
type request_cookie.txt | nc www.google.com 80 > response_cookie.txt

Ora che abbiamo le risposte ...

find "Todd" < response_nocookie.txt > NUL
echo %ERRORLEVEL%
1

Un livello di errore diverso da zero è un errore. Il mio nome non appare nella risposta, perché senza i cookie Google non mi conosce.

Che dire di quando abbiamo i cookie?

find "Todd" < response_cookie.txt > NUL
echo %ERRORLEVEL%
0

Un livello di errore zero è un successo: abbiamo trovato il mio nome nella risposta! In realtà è lì un paio di volte, perché la barra degli strumenti in alto ha un sacco di cose relative al mio account Google Plus.

Lascio questo come esercizio per il lettore: se lo desideri davvero puoi farti entrare in un account Google Plus con alcuni strumenti leggermente migliori. Google Plus richiede SSL (che non lo rende più sicuro per un utente che rimuove i cookie dal disco, ma blocca Firesheep).

ta.speot.is
fonte
Grazie. Inoltre, la maggior parte dell'antivirus mi avviserebbe quando altri programmi lo fanno?
Mentre questo esporta i tuoi cookie, non ti porta negli account Google. Vai avanti e prendi il contenuto di quel cookie e scriviti un'applicazione e prova ad accedere alle informazioni del suo account. C'è di più in questo oltre al lato client. . .
surfasb,
@ Dante - altamente improbabile che uno scanner AV ti avviserebbe se un'applicazione stava leggendo i tuoi cookie di Chrome. Inoltre, questo tipo di comportamento risolverà il problema a un livello errato (impedisce ai malware sul tuo computer di leggere i tuoi cookie). Invece, dovresti risolverlo di un livello superiore (ferma il malware sul tuo computer!)
ta.speot.is
Questa è una delle risposte più complete su SuperUser. Vorrei votare due volte se potessi!
TFM,
Grazie. (e non sarebbe stato così dettagliato se il surfasb non fosse stato così sbagliato. Quindi grazie surfasb, per non sapere come funziona HTTP!)
ta.speot.is
-1

Quando hai eseguito l'accesso a Gmail o al tuo account Google, l'opzione "Ricorda di essere" è stata probabilmente abilitata, ciò ha detto a Google che non volevi digitare la password ogni volta, quindi hanno detto al tuo browser (Chrome) di ricordare Gmail / ID sessione account Google che viene salvato in quello che viene chiamato un "cookie" che non scade quando si esce dal browser.

È questo quello che volevi sapere?

Nexerus
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.