Cookie могут быть скопированы между машинами для исполнения роли пользователя?
Чтобы исследовать эту проблему, вы можете открыть созданную группу управляемых ресурсов и изучить вкладку «Развертывание»
4 ответа
Абсолютно. Это - один способ, которым сценарии перекрестного сайта (XSS) набрасываются на работу:
- Я ввожу JavaScript в страницу
- Я ожидаю кого-то для рассмотрения страницы
- JavaScript, который я ввел, отправляет мне Ваши cookie
- Я вхожу в систему как Вы и делаю плохие вещи
Эта конкретная проблема укусила ТАК во время частной беты.
Да, кража cookie является общей техникой для кражи сессии от пользователя.
Некоторые сайты пытаются связать cookie с IP клиента, но это перестало работать перед лицом больших корпоративных прокси с несколькими исходящими интерфейсами или другими установками non-residental.
В дополнение к другим ответам. Никогда не доверяйте ничему прибывающему от пользователя веб-приложения, независимо от того, шифруется ли оно.
Это набрасывается на идею, проверяют вход на обоих клиентах и серверах. Не полагайте, что проверка на клиенте была сделана.
Даже если все остальное в порядке, если кто-то может получить физический доступ к машине пользователя, он может скопировать файлы cookie на другую машину.
Например, при необходимости просто клонируйте диск!