Возможна ли кража куки от всех сайтов?

Question

Broncoopo @Broncoopo

HTTP Cookies

Возможна ли кража куки от всех сайтов?

Допустим, я зашел на сайт с xss созданный злоумышленником, случайно ну бывает что уж тут, зашел и что всё? Все мои куки от всех сайтов теперь у него?

Вопрос задан 06 авг.
115 просмотров

Комментировать

Подписаться 1 Простой Комментировать

Решения вопроса 1

4 комментария

Broncoopo @Broncoopo Автор вопроса

А если сайт злоумышленника на https?
Простите за глупые вопросы, параноя может просто...но я случайно попал на сайт странный, а недавно читал про xss...и прям распереживался.

Написано 06 авг.
Broncoopo @Broncoopo Автор вопроса

В любом случае спасибо за ответ, я как то под успокоился!

Написано 06 авг.
alexalexes @alexalexes

А если сайт злоумышленника на https?

У злоумышленника другой домен. Браузер не поделиться с ним куками, не предназначенными для его домена.

Написано 06 авг.
Broncoopo @Broncoopo Автор вопроса

alexalexes, Спасибо Вам большое!

Написано 06 авг.

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Веб-разработка

+2 ещё

Простой
Корректна ли подстановка домена в Cookies при использовании общего сервиса авторизации для РАЗНЫХ доменов?
- 2 подписчика
- 15 окт.
- 61 просмотр
0

ответов
HTTP Cookies

Простой
Set-Cookies не работает в браузере, а в Postman работает, как сохранить куки в браузере?
- 1 подписчик
- 14 окт.
- 88 просмотров
1

ответ
Java

+1 ещё

Средний
Как вытаскивать cookie на java+selenide?
- 1 подписчик
- 18 сент.
- 67 просмотров
1

ответ
JavaScript

+1 ещё

Простой
Как с помощью JS организовать запись и чтение данных?
- 2 подписчика
- 29 авг.
- 1133 просмотра
1

ответ
PHP

+2 ещё

Средний
Почему не работают cookie на хостинге?
- 1 подписчик
- 18 авг.
- 141 просмотр
1

ответ
PHP

+3 ещё

Средний
Установка cookie web-сервером с параметром SameSite в момент ответа на AJAX запрос на другой домен как сделать или обойти ограничение?
- 1 подписчик
- 26 июл.
- 81 просмотр
1

ответ
React

+3 ещё

Средний
Как получить Http only cookie в middleware Nextjs 14?
- 1 подписчик
- 20 июн.
- 170 просмотров
0

ответов
PHP

+3 ещё

Простой
Как сделать редирект с https на http если заблокированы какие-то порты на хостинге?
- 1 подписчик
- 07 июн.
- 139 просмотров
3

ответа
PHP

+2 ещё

Простой
Куки и jwt токен как с этим работать?
- 1 подписчик
- 20 мая
- 203 просмотра
1

ответ
Показать ещё Загружается…

Старший программист 1С (УТ)

Агропромкомплектация (ООО "Агротех-Информ")

от 250 000 ₽

Системный аналитик

Автомакон

от 100 000 до 200 000 ₽

Старший программист 1С (Меркурий, Честный знак)

Агропромкомплектация (ООО "Агротех-Информ")

от 250 000 ₽

Разработка телеграм-бота для анализа транзакций на блокчейне Solana

26 окт. 2024, в 01:07

100000 руб./за проект

Доработать конфигуратор товара

25 окт. 2024, в 22:20

3000 руб./за проект

Разработать программу на ардуино

25 окт. 2024, в 21:46

7500 руб./за проект

Answer 1 · 2024-08-06 07:45:33

Нет, не у него.
Во-первых, браузер отображает только те куки, по домену которого открывается страница.
И во-вторых, критические куки, отвечающие за сессию всегда имеют свойство httponly и secure, их нельзя вычитать программно со стороны клиента через JS и нельзя получить по незащищенному протоколу http.

Чтобы похитить куки нужно как минимум согласиться на установку левого расширения браузера - вот там можно делать все с историей просмотра браузера.

Возможна ли кража куки от всех сайтов?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт