Задать вопрос
@386DX
javascript

Как узнать, кто трогал куки?

В свете недавнего вопроса Можно ли отследить юзеров из ВК пришедших на сайт без их разрешения?

Есть вконтакте и фейсбук, после логина в которых создаются куки с возможным хранением ID пользователя.
Есть теоретические вредоносные сайты, которые через уязвимости в браузере могут украсть куки Вк и ФБ и узнать, какой конкретно человек посещал сайт.

Появилась мысль, что куки, это просто текстовые файлы, которых хранятся в папке кэша браузера.
Следовательно, можно найти какую-нибудь программу, которая следила бы за счтыванием кук с диска в момент посещения вредоносных сайтов и оповещала бы пользователя.

Хочется поставить точку в вечном вопросе, может ли владелец сайта узнать что пользователь ФБ и ВК посещал его сайт.

Собственно, разыскивается указанная программа, следящая за куками и IO дисков.

Cори если сбивчиво написал.

@xmdy
  • Вопрос задан
  • 6093 просмотра
Комментировать
Подписаться 3 Оценить Комментировать
Решения вопроса 1
@386DX Автор вопроса
Извиняюсь, если неправильно задал вопрос. Мне нужен был ответ вроде этого
habrahabr.ru/post/228617
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 3
FeNUMe
@FeNUMe
В основных браузерах куки хранятся в SQLite бд, а не отдельными файлами. То есть в случае обычного вируса/трояна на компе, максимум можно отслеживать попытки доступа к этой бд. В случае вредоносного кода на сайте - вы никак не сможете отследить, потому что доступ к кукам будет через стандартные механизмы браузера и ничем от правомерного доступа отличатся не будет. Имхо, для отслеживания кто, когда и к каким кукам обращался нужно вносить изменения в код браузера, обычным аддоном это сделать не выйдет. Как по мне это бессмысленная затея: для борьбы с кражей кук через js давно придумали HTTP-only куки, а для борьбы с зловредами существуют антивирусы.
Ответ написан
6 комментариев
6 комментариев
selivanov_pavel
@selivanov_pavel
Linux admin
Ставим точку:
- может, если ФБ и ВК предоставляют возможность размещать свои кнопки и отдают с них статистику владельцу сайта, причём не анонимную, а с именами пользователей
- моежт, если пользователь оставить на сайте комментарий пользуясь авторизацией через ФБ или ВК(оба предоставляют какой-то аналог OAuth)
- может, используя значение referer из HTTP-запроса. Это если пользователь перешёл на сайт из ВК или ФБ. Но имя пользователя он при этом не узнает.

Для параноиков рекомендую Ghostery, есть под лису и под хром.
Ответ написан
Комментировать
Комментировать
@Myateznik
Политика безопасности современных браузеров запрещает страницам одного домена получать Cookie данные другого домена. Определить, что пользователь ВК или ФБ посещал сайт можно серверным кодом считывая Referer заголовок запроса.

Есть 1 способ читать Cookie (не HTTP-only) другого домена , но он может быть уже исправлен. Если домены являются доменами 3-го уровня на пример: domain1.example.com и domain2.example.com, то и первый домен и второй получают доступ к Cookie данным домена example.com т.к. технически являются поддоменами домена example.com (технически один домен - один сайт). Хостинг провайдеры предоставляющие домен 3-го уровня могут просто при каждом обращении к серверу стирать Cookie данные для домена 2-го уровня в нашем примере домен 2-го уровня это example.com
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
JavaScript FullStack разработчик
Rocket Смоленск
от 80 000 до 130 000 ₽
Fullstack разработчик JavaScript, php
Дорстрой-36 Воронеж
от 100 000 до 200 000 ₽
JavaScript FullStack developer
Wanted. Санкт-Петербург
До 220 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Текст из фотографии в отдельный файл
26 нояб. 2024, в 04:41
1500 руб./за проект
Выложить 75 курсов на геткурс и настроить базовые функции
26 нояб. 2024, в 02:18
15000 руб./за проект
Редизайн и доработка интернет магазина на wordPress
25 нояб. 2024, в 23:42
50000 руб./за проект
Ещё заказы