Возможна ли кража куки от всех сайтов?

Question

[Broncoopo]

Допустим, я зашел на сайт с xss созданный злоумышленником, случайно ну бывает что уж тут, зашел и что всё? Все мои куки от всех сайтов теперь у него?

Answer 1

[alexalexes]

Нет, не у него.
Во-первых, браузер отображает только те куки, по домену которого открывается страница.
И во-вторых, критические куки, отвечающие за сессию всегда имеют свойство httponly и secure, их нельзя вычитать программно со стороны клиента через JS и нельзя получить по незащищенному протоколу http.

Чтобы похитить куки нужно как минимум согласиться на установку левого расширения браузера - вот там можно делать все с историей просмотра браузера.

Comments

[Broncoopo]

А если сайт злоумышленника на https?
Простите за глупые вопросы, параноя может просто...но я случайно попал на сайт странный, а недавно читал про xss...и прям распереживался.

[Broncoopo]

В любом случае спасибо за ответ, я как то под успокоился!

[alexalexes]

А если сайт злоумышленника на https?

У злоумышленника другой домен. Браузер не поделиться с ним куками, не предназначенными для его домена.

[Broncoopo]

alexalexes, Спасибо Вам большое!