Возможно ли авторизоваться если злоумышенник получит чужие куки?

Question

[video12]

Если злоумышленник подделает http заголовки и cookie чужого человека сможет ли он авторизоваться?
Например, если он сделает curl запрос в котором user agent такой же как у жертвы и заголовок cookie также такой же как у жертвы, то сможет ли он авторизоваться в чужой аккаунт? Откинем в сторону вопрос как он получил эти куки, трояном или как нибудь еще.

Answer 1

[mayton2019]

С точки зрения современного инфо-беза логин + пароль - уже не танцуют.
Сейчас - основной упор на безопасность - это многофакторка. И время сессии
желательно как можно меньше. Например 15 минут. В кабинетах банков так уже делают.

Если злоумышленник у вас угнал куки то у него есть очень мало времени чтобы ими
воспользоваться иначе надо будет доставать как-то ваш телефон или RSA-брелок.

Кроме того сами методы многофакторки рандомно меняются. Банк для авторизации
входа может позвонить голосом. Чтоб подтвредить. Может попросить ввести число
с генератора в MSAuth/Okta/Duo. Или приложить палец к сканеру отпечатков.

Тоесть кража самих кукисов - влечет для нас целый квест вопросв и ответов которые нужно
дальше спрашивть прежде чем сказать что-то утвердительно.

Answer 2

[Adamos]

Откинем в сторону вопрос как он получил эти куки, трояном или как нибудь еще.

Напрасно вы его откидываете. Обычно логин с паролем у юзера лежат примерно там же, где куки, так что и рефлексировать насчет их небезопасности стоит с трезвой оценкой безопасности альтернатив.

Comments

[video12]

Чтобы реализовать функционал кнопки "Запомнить меня", что нужно хранить в куках? Можно что угодно, главное чтобы куки были уникальными для каждого юзера?

[Adamos]

video12, а это зависит от ваших целей. Хотите, чтобы авторизация отваливалась при смене айпишника или юзер-агента - включайте в куку.
Не хотите - ну, можно хэш хэша пароля туда вписать хотя бы, чтобы юзер мог его сменить и похерить потенциально сворованные куки.

Answer 3

[pfg21]

может, авторизация без запроса логин/паролей аккурат через куки и работает.

Comments

[video12]

Как тогда реализовать функцию "запомнить меня" при входе?

[Василий Банников]

video12, а это каким боком тут? Просто выдаётся лолгоживущая кука

[video12]

Василий Банников, уже понял

Answer 4

[ThunderCat]

Если злоумышленник введет логин и пароль чужого человека сможет ли он авторизоваться?
Например, если он сделает curl запрос в котором user agent такой же как у жертвы и пароль и логин также такой же как у жертвы, то сможет ли он авторизоваться в чужой аккаунт? Откинем в сторону вопрос как он получил эти данные, трояном или как нибудь еще.

Comments

[video12]

Дело в том что пароли шифруются, а вот cookie если я не ошибаюсь нет. Вы знакомы с шифрованием?

[ThunderCat]

video12, Пароли шифруются где? И куки не шифруются где?

[video12]

ThunderCat, в браузере

[ThunderCat]

video12, Где это пароли шифруются в браузере? Возьмите любой сервис с логином, введите логин/пароль и откройте инструменты разработчика. Засубмить форму, и посмотри что отправилось на сервер.

[imdeveloper]

video12, куки не шифруются. у вас может быть хеш записан в куку, по которому вас индетифицирует сервер, как юзера на время действия этого токена, который угнав, можно получить доступ к акканту тоже на это время(времени сессии)

[video12]

ThunderCat, а в файлах пароли не шифруются?

[video12]

ThunderCat, я например смог с легкостью авторизоваться на qna habr через куки с php, а вот с логином и паролем бы не смог, так как на входе капча. Это еще один аргумент в пользу того что с куки легче взломать

[Aetae]

video12, пароль защищают капчей от брутфорса, сбрутить куку у вас врядли выйдет, т.к. она обычно куда длиннее пароля, при том что живёт меньше и ещё дополнительно завязана на какие-то скорее всего неизвестные параметры.

[ThunderCat]

video12,

а в файлах пароли не шифруются?

В каких файлах???

я например смог с легкостью авторизоваться на qna habr через куки с php, а вот с логином и паролем бы не смог, так как на входе капча. Это еще один аргумент в пользу того что с куки легче взломать

А при чем тут это? С логином и паролем и руками можно авторизироваться, и ломать ничего не надо. Зато навсегда, а кука со временем протухает, по уму при каждом новом логине она меняется.

Это еще один аргумент в пользу того что с куки легче взломать

Вообще не аргумент. Скорее наоборот, при наличии куки вы не знаете механизм авторизации, выбранный на конкретном ресурсе, она может не сработать или умереть через 5 минут. Логин и пароль работают пока пользователь руками их не сменит. Смысл поста был в том что увести куки или пароль примерно одинаково сложно, о чем говорит большинство взломов, в основном ломающих системы сохранения данных, нежели пользователей.

Answer 5

[Sergey В.]

Имея чужие куки ЛЕГКО выполнять любые действия пользователя на стороннем сайте.
Я делал проект, где куки через Chrome Extension отправлялись на сторонний сервер и там выполнялись действия по автоматизации. Да, некоторые сайты сверяют IP, время, часовой пояс. Но это уже детали.