У пользователя хранится ID сессии в куки. Таким образом, если злоумышленник доберется до компьютера жертвы, он может просто скачать себе ее cookie?

Question

[sorry_i_noob]

Здравствуйте. Разбираюсь с сессиями и куки. Прочитал ответы вот здесь:
https://ru.stackoverflow.com/questions/90280/%D0%A...
Конкретно заинтересовал вот этот абзац:

Как правило, сессии реализуются используя cookies и идентификаторы сессий. Т.е. сервер со своей стороны создает уникальный идентификатор, например, «1a2b3c» (session_id про который вы справшивали), а клиента просит его запомнить. Обычно — при помощи cookies, говоря что-то в духе Set-Cookie: PHPSESSID=1a2b3c (где «PHPSESSID» — имя сессии, обычно, оно только одно, вести параллельно несколько сессий нужно редко). Со своей стороны сервер где-то (зависит от реализации, иногда это файл, например, /tmp/1a2b3c, иногда запись в БД, иногда еще что-то) хранит различные данные, которые ему приказано связывать с этой сессией. Например, имя пользователя.

Получается, что если злоумышленник доберется до компьютера жертвы, он может просто скачать себе ее cookie? И сидеть со своего компьютера под ее учетной записью?

Comments

[Moskus]

Именно так (перехватом cookie) раньше воровали учетки соцсетей в местах с публичным WiFi, когда HTTPS не был так распростанен.

Answer 1

[DevMan]

Да, может. Точно так же, как злоумышленник, укравший ваш кошелёк, может пользоваться вашими деньгами/картами.

Comments

[sorry_i_noob]

То есть, нужно всего лишь скопировать вот этот файл
`C:\Users\\AppData\Local\Google\Chrome\User Data\Default\Cookies`
и вставить в свой хром? И если пользователь был авторизован в vk, например. После вставки я буду тоже авторизован?

[DevMan]

sorry_i_noob,
1. Я без понятия где хром хранит куки в винде.
2. Если идентификация только по куке (крупные проекты обычно используют более сложные механизмы), то да, подмены будет достаточно.

[sorry_i_noob]

DevMan, я уже попробовал. Убрал свои куки, открыл сайт - я не авторизован. Восстановил куки - я авторизован.
И у меня возник вопрос. Я сохранил куки. Вышел из vk. И снова вошел. И снова вышел.
Потом в хроме заменил куки на те, когда я был в vk до всех этих входов / выходов. И я стал авторизован. Почему? Ведь Для каждого пользователя PHPSESSID является уникальным и постоянным на весь сеанс работы. А я ведь вышел (окончил сеанс). Создал новый сеанс (вошел). И снова вышел. Потом заменил куки, где PHPSESSID старый. И я снова стал в сети. Как так?

[DevMan]

sorry_i_noob, айди сессии действительно уникальный для каждого юзера, но вовсе не обязан быть постоянным (он может меняться в пределах сеанса так часто, как захочется программисту).

выход из сессии убивает только айди сессии в браузере, данные на сервере живут ещё какое-то время (зависит и от оси, и от используемого хендлера).

Answer 2

[profesor08]

Если все манипуляции проводятся на одном устройстве и в одной сети, то подмена сработает, только вот смысла в этом нет никакого. Ведь вся соль в том, чтоб подменить на произвольной машине и оказаться авторизованным. А раз есть доступ к машине, то проще украсть пароль и надеяться что этого хватит, а не плясать с заменой, которая сработает только на очень примитивных сайтах, которые на 99.9999% бесполезны.

Comments

[DevMan]

на стандартных сессиях это сработает в разных сетях и на разных устройствах.

[sorry_i_noob]

то проще украсть пароль и надеяться что этого хватит

А что, если пользователь не сохранил пароль в хроме? Но авторизован. Да даже если сохранил пароль, он зашифрован.