Задать вопрос
  • Возможно ли авторизоваться если злоумышенник получит чужие куки?

    mayton2019
    @mayton2019
    Bigdata Engineer
    С точки зрения современного инфо-беза логин + пароль - уже не танцуют.
    Сейчас - основной упор на безопасность - это многофакторка. И время сессии
    желательно как можно меньше. Например 15 минут. В кабинетах банков так уже делают.

    Если злоумышленник у вас угнал куки то у него есть очень мало времени чтобы ими
    воспользоваться иначе надо будет доставать как-то ваш телефон или RSA-брелок.

    Кроме того сами методы многофакторки рандомно меняются. Банк для авторизации
    входа может позвонить голосом. Чтоб подтвредить. Может попросить ввести число
    с генератора в MSAuth/Okta/Duo. Или приложить палец к сканеру отпечатков.

    Тоесть кража самих кукисов - влечет для нас целый квест вопросв и ответов которые нужно
    дальше спрашивть прежде чем сказать что-то утвердительно.
    Ответ написан
    Комментировать
  • Возможно ли авторизоваться если злоумышенник получит чужие куки?

    ThunderCat
    @ThunderCat
    {PHP, MySql, HTML, JS, CSS} developer
    Если злоумышленник введет логин и пароль чужого человека сможет ли он авторизоваться?
    Например, если он сделает curl запрос в котором user agent такой же как у жертвы и пароль и логин также такой же как у жертвы, то сможет ли он авторизоваться в чужой аккаунт? Откинем в сторону вопрос как он получил эти данные, трояном или как нибудь еще.
    Ответ написан
    9 комментариев
  • Возможно ли авторизоваться если злоумышенник получит чужие куки?

    @pfg21
    ex-турист
    может, авторизация без запроса логин/паролей аккурат через куки и работает.
    Ответ написан
    3 комментария