Können die anderen Programme auf meinem PC über Cookies von Webbrowsern auf mein Google-Konto zugreifen?

12

Ich bin gespannt, ob die anderen Programme unter Windows 7 auf Google Mail zugreifen können, sofern ich mich bereits in meinem Google-Konto in Chrome (stabil) angemeldet habe.

Wenn nein, durch was und wie werden sie an der Erreichbarkeit gehindert?


Das Kopfgeld ist für todda.speot.is.

Wenn Sie eine gute Antwort haben, würde ich mindestens +1 geben. XD


quelle
Gibt es noch etwas, was ich in Bezug auf die Prämie in meiner Antwort erläutern soll?
ta.speot.is
Ich werde versuchen zu aktualisieren, wenn es die Zeit erlaubt.
ta.speot.is

Antworten:

15

Vermutlich ja. Wenn Sie die Kommentare hier lesen , bedeutet dies, dass Chrome Cookies nicht verschlüsselt und Sie Ihr Benutzerprofil einfach auf einen anderen PC kopieren können und Chrome diese Cookies verwendet.

Ersetzen Sie "Sie können Ihr Benutzerprofil einfach auf einen anderen PC kopieren" durch "Ein Angriff kann Ihr Benutzerprofil auf den PC kopieren".

Eine lokale Anwendung könnte auch eine Kopie davon erstellen. Dieser Thread verfügt über ein Python-Skript zum Exportieren Ihrer Chrome-Cookies.

Bearbeiten:

Ich kann nicht sagen, ob surfasbes sich um Trolling handelt oder ob ich nicht verstehe, wie HTTP funktioniert. Unverschlüsselte Cookies sind der Angriffsvektor, den Firesheep verwendet . Ob es von der Leitung oder von der Festplatte kommt, ist unwichtig. Sobald Sie den Cookie haben, sind Sie in.

Hier ist ein kleines Beispiel, um Google zu "täuschen", dass Netcat Chrome ist. Beachten Sie, dass es Google egal ist, was mein Browser ist, nur dass ich die Cookies habe, die Google mir gegeben hat und die mich bei Google identifiziert.

request_nocookie.txt:

GET http://www.google.com.au/ HTTP/1.1
Host: www.google.com.au
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.112 Safari/535.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-GB,en-US;q=0.8,en;q=0.6
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

request_cookie.txtwie oben ist die gleiche, aber mit meinem PREF, SID, HSISD, NIDCookies .google.com. Ich werde es dir nicht zeigen, weil es meins ist :)

Diese beiden Befehle senden die Anforderungen an Google und speichern die Antwort.

type request_nocookie.txt | nc www.google.com 80 > response_nocookie.txt
type request_cookie.txt | nc www.google.com 80 > response_cookie.txt

Jetzt haben wir die Antworten ...

find "Todd" < response_nocookie.txt > NUL
echo %ERRORLEVEL%
1

Eine Fehlerstufe ungleich Null ist ein Fehler. Mein Name wird in der Antwort nicht angezeigt, da Google ohne die Cookies nichts über mich weiß.

Was ist, wenn wir den Keks haben?

find "Todd" < response_cookie.txt > NUL
echo %ERRORLEVEL%
0

Eine Null Fehlerstufe ist Erfolg - wir haben meinen Namen in der Antwort gefunden! Es ist tatsächlich ein paar Mal vorhanden, da die Symbolleiste oben eine Reihe von Informationen zu meinem Google Plus-Konto enthält.

Ich überlasse dies dem Leser als Übung: Wenn Sie es wirklich wollen, können Sie sich mit ein paar etwas besseren Tools in ein Google Plus-Konto einloggen. Für Google Plus ist SSL erforderlich (wodurch die Sicherheit für einen Benutzer, der die Cookies von der Festplatte entfernt, nicht erhöht wird, Firesheep jedoch gestoppt wird).

ta.speot.is
quelle
Vielen Dank. Würden mich die meisten Antivirenprogramme darüber hinaus warnen, wenn andere Programme dies tun?
Während das Ihre Cookies exportiert, gelangen Sie nicht in Google-Konten. Nehmen Sie den Inhalt dieses Cookies, schreiben Sie sich eine Anwendung und versuchen Sie, auf deren Kontoinformationen zuzugreifen. Dies beinhaltet mehr als nur die Client-Seite. . .
Surfasb
@Dante - Es ist sehr unwahrscheinlich, dass ein AV-Scanner Sie benachrichtigt, wenn eine Anwendung Ihre Chrome-Cookies liest. Außerdem würde dieses Verhalten das Problem auf der falschen Ebene lösen (verhindern, dass Malware auf Ihrem Computer Ihre Cookies liest). Stattdessen sollten Sie es eine Ebene
höher
Dies ist eine der umfassendsten Antworten auf SuperUser. Ich würde zweimal abstimmen, wenn ich könnte!
TFM
Vielen Dank. (und es wäre nicht so detailliert gewesen, wenn surfasb nicht so falsch gewesen wäre. Also danke surfasb, dass du nicht wusstest, wie HTTP funktioniert!)
ta.speot.is
-1

Wenn Sie sich in Google Mail oder in Ihrem Google-Konto angemeldet haben, war die Option "Remember Be" wahrscheinlich aktiviert. Dies teilte Google mit, dass Sie Ihr Passwort nicht jedes Mal eingeben müssen. Die Sitzungs-ID des Google-Kontos wird in einem sogenannten "Cookie" gespeichert, das beim Verlassen Ihres Browsers nicht abläuft.

Wolltest du das wissen?

Nexerus
quelle