Вот задался таким вопросом и пока не могу найти ответа, а реально ли сделать авторизацию на каком-либо сайте, например mail.ru и т.д. Путём кражи cookies у жертвы!

May 12, 2013 - Так вот, а что, если у таких пользователей своруют cookies при помощи. Хе по поводу кражи cookies, вот интересная задачка, которую.

Смысл вот какой, многие сайты, в частности этот форум например, позволяет запоминать посетителей (Кнопочка 'запомнить' при авторизации), это позволяет пользователям входить без авторизации. Так вот, а что, если у таких пользователей своруют cookies при помощи трояна, или xss уязвимости, реально-ли авторизоваться, или там привязка ещё к MAK-адресу и какая-то дополнительная привязка к браузеру есть?

Кто-нить размышлял на эту тему, какие мысли, если краденные cookies действительно можно использовать для авторизации, то это очень плохо, по сути тогда к любому ящику можно получить доступ, а способ как спереть cookies у жертвы, всегда можно найти. В прошлом году профессор написал по этому поводу в Microsoft, но те ответили, что это известная проблема и в каком-то смысле даже ожидаемое поведение веб-сайта. Сейчас Сэм Боуни решил проверить, как обстоят дела с использованием старых cookie в разных популярных веб-сервисах. Список сервисов, которые запрещают повторное использование cookie Discover Card Craigslist Travelocity Gmail Tweetdeck Facebook Ars Technica Slashdot (ISC)^2 LastPass Passpack Need My Password Mitto My1Login Dropbox alpha.app.net Godaddy Список сервисов, в которых уязвимость до сих пор актуальна Chase American Express Amazon NetFlix TigerDirect IBM Adobe Office 365 и Live.com Yahoo mail Twitter LinkedIn Wordpress Apple's iCloud Stumbleupon Flickr Forbes Huffington Post The Guardian The New York Times The Register Reddit Cloudflare (исправляют) Github CourseSmart Waze Vimeo Источник:хакер.ru. Значит по железу (ответов сработанных скриптов). Не думаю что после массовых угонов доменов и почт и выкладки более миллиона куков ВК акков нормальные сервисы не сделают защиты от кражи печенек.

Но на самом деле ты меня заинтриговал. Нажо будет к соседу с печеньками своими сходить и на его хроме протестить, благо есть хороший плагин для хрома и удобный - EditThisCoockie.

А если так, как ты говоришь, то 3,14здец будет многим, в нете полно баз с куками, которые только обработать в нужный формат и использовать можно в совсем не миротворных целях. Крадем куки, заменяем свои куки, на украденные. Нет привязки ни к IP, ни к железу. Google Chrome XP: C: Documents and Settings имя пользователя Local Settings Application Data Google Chrome User Data Default Cookies Win7: C: Users User AppData Local Google Chrome User Data Default Cookies Opera Win7: C: Users User AppData Roaming Opera Opera cookies4.dat XP: C: Documents and Settings имя пользователя Local Settings Application Data Opera Opera cookies4.dat Для остальных можно в сети найти.

Ноутбуки, будучи мобильными устройствами — лакомые кусочки для злоумышленников разных уровней и мастей. Являясь легкодоступным предметом кражи, владельцы лептопов просто обязаны соблюдать элементарные требования защиты ноутбук от хищения. Благо, бесплатные программные решения поиска пропавших лептопов, такие как — LAlarm, Prey и IPFetcher способны облегчить поиск пропавшего гаджета и серьёзно усложнить жизнь злоумышленнику. — это не комплексное решения защиты ноутбука от кражи. Программа представляет из себя полноценную «противоугонную сигнализацию», одновременно выполняя функцию «виртуального троса», способного предотвратить кражу гаджета при определенных сценариях похищения лептопа. LAlarm не требует регистрации, вполне достаточно скачать и установить на свой ноутбук Как работает LAlarm? Если вы в первый раз открыли службу LAlarm, запустите мастер конфигурации, кликнув по пункту Пуск в меню Options в папке LAlarm.

Откроется интерфейс настроек, который является именно тем самым местом, где вы можете досконально изучить и претворить в жизнь изысканные алгоритмы оповещения хозяина ноутбука при различных вариантах хищения драгоценного гаджета. Для активации опции «виртуального троса» перейдите на вкладку Alarm и включите опцию Enable Theft Alarm Для того, чтобы запустить функцию блокировки компьютера, одновременно нажмите сочетание клавиш Win+L, после чего услышите довольно таки громкий звуковой сигнал, сообщающий вам, что ноутбук надёжно защищён. Теперь при любых действиях, например отсоединения кабеля питания или USB-накопителя раздастся сигнал тревоги. Кстати, сценарии могут самостоятельно настраиваться для различных ситуаций — будь то срочное копирование заранее настроенных папок с информацией на емайл с последующим уничтожением файлов-первоисточников, или же запустится специальный скрипт, стороннее приложение, которые можно найти во вкладке Theft Response.

Ко всему прочему, программа LAlarm может определять безопасную зону работы, которая функционирует с помощью привязки IP-адреса шлюза выхода в сеть. Как только тузла обнаружит несанкционированный адрес, через который ноутбук вышел в сеть, включится уже известный вам механизм защиты. — это самая простая программа в работе с настройками, к тому же имеет русский интерфейс. Как работает Prey? — установите, загрузив его с официальной страницы вендора, после чего зарегистрируйтесь на сайте — Собственно, это всё. Утилита Prey, умело замаскировавшись на вашем лептопе, не выдаст себя ни иконкой, не значком в системном трее. Такой подход позволит усыпить бдительность мошенника, который будет уверен в своей безнаказанности.

Но не тут-то было! Ещё раз откройте виртуальную панель, перейдя по уже знакомому вам веб-адресу и там вы увидите не только все характеристики железа своего ноутбука, но сможете настроить постоянное отслеживание перемещения девайса с помощью Wi-Fi сетей и GPS, узнавать IP-адрес текущего соединения компьютера с сетью, вплоть до того, что незаметно делать снимки злоумышленника с помощью фронтальной веб-камеры. Вы даже сможете, при наличии активной интернет-сессии, поговорить с вором, предложив анонимно вернуть украденный девайс.

— утилита выполняет необходимый минимум, который максимально защитит ноутбук от несанкционированного доступа третьими лицами. Вернее сказать так — IPFetcher поможет выйти на след злоумышленника, если кража ноутбука всё же произошла, постоянно сливая хозяину девайса IP-адрес выхода в сеть нового владельца. Как работает IPFetcher? И запустите программу на своём ПК, введите и запомните мастер-пароль, призванный защитить систему от не авторизованного пользователя. Утилита IPFetcher, в зависимости от настроек, способна незаметно от пользователя отправлять текущий IP-адрес интернет-соединения на заранее заданный адрес электронной почты или же записывать полученные данные в файл протокола на удаленном FTP-сервере.

Для этого во вкладке Mail Setting, в параметре SMPT Server необходимо указать рабочий адрес сервера исходящей почты, например — smtp.yandex.ru В директории Port Number следует указать открытый порт для отправки электронных сообщений, как правило это — 25, 587 2525 или 465 порты. В строек From укажите реально действующий адрес электронной почты, а в директории To требуется вписать ваш настоящий почтовый адрес, так как именно на него IPFetcher будет отправлять свои отчёты.

В строках User Name и Password укажите логин и пароль от своего почтового сервиса. Для проверки правильности настроек кликните по Test Mail — если вы настраиваете отправку отчётов на емайл и FTP Setting — при конфигурации данных на FTP-сервере. Как дополнительная функция — в разделе Send Interval можно настроить регулярность генерации отчетов, определяя временной интервал с точностью до 60 минут. Самое последнее, что необходимо сделать, это нажать по Click to manually start Service, директорию которой можно найти во вкладке Service Settings. Вам необходимо дождаться положительного ответа, когда в строке Started отобразится значение Yes, в противном случае программа IPFetcher работать не будет.

Справедливости ради отмечу, что существует еще несколько программ, которые так же бескомпромиссно справляются с задачей противодействия кражи мобильных лептопов, но защита ноутбук от кражи с LAlarm, Prey и IPFetcher является наиболее эффективной.