โปรแกรมอื่น ๆ ในพีซีของฉันสามารถเข้าถึงบัญชี Google ของฉันผ่านคุกกี้ของเว็บเบราว์เซอร์ได้หรือไม่

12

ฉันอยากรู้ว่าโปรแกรมอื่น ๆ ใน Windows 7 ของฉันสามารถเข้าถึง Gmail ของฉันได้หรือไม่เนื่องจากฉันได้ลงชื่อเข้าใช้บัญชี Google ใน Chrome (เสถียร) แล้ว

ถ้าไม่พวกเขาสามารถป้องกันการเข้าถึงได้โดยวิธีอะไรและอย่างไร

เงินรางวัลสำหรับ todda.speot.is

หากคุณมีคำตอบที่ดีฉันจะ +1 อย่างน้อย XD

windows-7  google-chrome  cookies 
เกี่ยวกับเงินรางวัลมีอะไรอีกที่คุณอยากให้ฉันอธิบายในคำตอบของฉัน?
ta.speot.is
ฉันจะลองและอัปเดตเมื่อเวลาอนุญาต
ta.speot.is

คำตอบ:

15

น่าจะใช่ หากคุณอ่านความคิดเห็นที่นี่หมายความว่า Chrome ไม่ได้เข้ารหัสคุกกี้และคุณสามารถคัดลอกโปรไฟล์ผู้ใช้ของคุณไปยังพีซีเครื่องอื่นและ Chrome จะเริ่มใช้คุกกี้เหล่านั้น

แทน "คุณสามารถคัดลอกโปรไฟล์ผู้ใช้ไปยังพีซีเครื่องอื่น" ด้วย "การโจมตีสามารถคัดลอกโปรไฟล์ผู้ใช้ไปยังพีซี"

หรือแอปพลิเคชันในท้องถิ่นสามารถทำสำเนาได้ กระทู้นี้มีสคริปต์ Python สำหรับส่งออกคุกกี้ Chrome ของคุณ

แก้ไข:

ฉันไม่สามารถบอกได้ว่าsurfasbกำลังหมุนรอบหรือไม่เข้าใจว่า HTTP ทำงานอย่างไร คุกกี้ unencrypted มีการโจมตีเวกเตอร์ใช้ ไม่ว่าจะเป็นการดึงสายออกหรือปิดดิสก์นั้นไม่สำคัญ เมื่อคุณมีคุกกี้คุณจะเข้า

นี่คือตัวอย่างเล็ก ๆ ของ "หลอกลวง" Google คิดว่า netcat คือ Chrome โปรดทราบว่า Google ไม่สนใจว่าเบราว์เซอร์ของฉันคืออะไรฉันมีคุกกี้ที่ Google มอบให้ฉันเพื่อระบุตัวตนของฉันให้กับ Google

request_nocookie.txt:

GET http://www.google.com.au/ HTTP/1.1
Host: www.google.com.au
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.112 Safari/535.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-GB,en-US;q=0.8,en;q=0.6
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

request_cookie.txtเป็นเช่นเดียวกับข้างต้น แต่กับฉันPREF, SID, HSISD, คุกกี้NID .google.comฉันจะไม่แสดงให้คุณเห็นเพราะพวกเขาเป็นของฉัน :)

คำสั่งทั้งสองนี้ส่งคำขอไปยัง Google แล้วบันทึกการตอบกลับ

type request_nocookie.txt | nc www.google.com 80 > response_nocookie.txt
type request_cookie.txt | nc www.google.com 80 > response_cookie.txt

ตอนนี้เรามีคำตอบ ...

find "Todd" < response_nocookie.txt > NUL
echo %ERRORLEVEL%
1

ระดับข้อผิดพลาดที่ไม่ใช่ศูนย์คือความล้มเหลว ชื่อของฉันไม่ปรากฏในการตอบสนองเนื่องจากไม่มีคุกกี้ที่ Google ไม่รู้เกี่ยวกับตัวฉัน

แล้วเมื่อเรามีคุกกี้ล่ะ

find "Todd" < response_cookie.txt > NUL
echo %ERRORLEVEL%
0

ระดับความผิดพลาดเป็นศูนย์คือความสำเร็จ - เราพบชื่อของฉันในการตอบกลับ! มันมีอยู่สองสามครั้งเนื่องจากแถบเครื่องมือด้านบนมีหลายสิ่งที่เกี่ยวข้องกับบัญชี Google Plus ของฉัน

ฉันจะปล่อยให้เรื่องนี้เป็นแบบฝึกหัดให้กับผู้อ่าน: หากคุณต้องการให้คุณเข้าสู่บัญชี Google Plus ด้วยเครื่องมือที่ดีขึ้นเล็กน้อย Google Plus ต้องการ SSL (ซึ่งไม่ได้ทำให้ปลอดภัยสำหรับผู้ใช้ที่นำคุกกี้ออกจากดิสก์ แต่จะหยุด Firesheep)

ta.speot.is
แหล่งที่มา
ขอขอบคุณ. นอกจากนี้โปรแกรมป้องกันไวรัสส่วนใหญ่จะเตือนฉันเมื่อมีโปรแกรมอื่นทำเช่นนั้น
ขณะที่ส่งออกคุกกี้ของคุณ แต่นั่นไม่ได้นำคุณเข้าสู่บัญชี Google ไปข้างหน้าและรับเนื้อหาของคุกกี้นั้นและเขียนแอปพลิเคชันด้วยตนเองแล้วลองเข้าถึงข้อมูลบัญชีของพวกเขา มีมากกว่านี้เพียงแค่ด้านลูกค้า . .
surfasb
@Dante - ไม่น่าเป็นไปได้มากที่เครื่องสแกน AV จะแจ้งให้คุณทราบหากแอปพลิเคชันอ่านคุกกี้ Chrome ของคุณ นอกจากนี้พฤติกรรมเช่นนี้จะช่วยแก้ปัญหาในระดับที่ไม่ถูกต้อง (หยุดมัลแวร์ในเครื่องของคุณจากการอ่านคุกกี้ของคุณ) แต่คุณควรจะแก้ปัญหาในระดับหนึ่ง (หยุดมัลแวร์ในเครื่องของคุณ!)
ta.speot.is
นี่เป็นหนึ่งในคำตอบที่ครอบคลุมที่สุดใน SuperUser ฉันจะโหวตให้สองครั้งถ้าทำได้!
TFM
ขอขอบคุณ. (และมันจะไม่ได้รับรายละเอียดมากถ้า surfasb ไม่ได้ผิดดังนั้นขอบคุณ surfasb เพราะไม่รู้ว่า HTTP ทำงานอย่างไร!)
ta.speot.is
-1

เมื่อคุณลงชื่อเข้าใช้ Gmail หรือบัญชี Google คุณอาจเปิดใช้งานตัวเลือก "อย่าลืม" สิ่งนี้บอกกับ Google ว่าคุณไม่ต้องการพิมพ์รหัสผ่านทุกครั้งดังนั้นพวกเขาจึงบอกเบราว์เซอร์ (Chrome) ให้จำ Gmail ของคุณ / รหัสเซสชันของบัญชี Google ที่บันทึกไว้ในสิ่งที่เรียกว่า "คุกกี้" ที่ไม่หมดอายุเมื่อคุณออกจากเบราว์เซอร์

นี่คือสิ่งที่คุณต้องการรู้หรือไม่?

Nexerus
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.