Cookie 盗号的问题?

2023-04-17 09:49:30 +08:00
 0littleboy

事情起因是看到电丸科技被盗号的事,据说是下载了恶意软件,被上传了浏览器的 cookie

但我有些疑问

在别人电脑上拷贝 cookie 的 sessionid 就可以直接在自己电脑上登陆了吗

后端难道没有 mac 地址验证,ip 地址验证的东西吗?

5414 次点击
所在节点    程序员
32 条回复
yellowvii
2023-04-17 09:55:44 +08:00
mac 地址验证这个实在是做不到,非常用 IP 倒是有很多家做保护。
fatbear
2023-04-17 09:58:42 +08:00
第一浏览器没法获取 mac 地址,ip 地址很多家会做登录时的地区风控,但是一般不会有人做强制失效,除非有特殊需求,试想一个场景,你做高铁跨省市,ip 地址一换,你的 app 全被踢下线重新登陆是一种什么样的体验
renmu
2023-04-17 10:00:52 +08:00
收集 mac 地址又该被喷违规收集信息了。
ip 地址验证一般只在登录时候做,不然难道你带电脑换个电脑就要重新登录?
janus77
2023-04-17 10:03:26 +08:00
举个栗子,你有没有用过梯子
梯子有没有多节点
你在一个节点登录成功,电脑里存了 cookie ,再换个节点,需要你重新登录了吗
picone
2023-04-17 10:08:04 +08:00
银行会验证 IP ,比如招行。
以前招行我连公司网络用不了,因为公司网络 NAT 出口每次都不一样不稳定,后来招行把这个限制干掉了。
kujio
2023-04-17 10:15:03 +08:00
我知道的移动、联通、广电、铁通、等经常会变 ip
abc8678
2023-04-17 10:16:55 +08:00
不敢装 QQ 和微信,之前听说过盗 cookie
deepshe
2023-04-17 10:17:45 +08:00
使用 cookie 的前提是你电脑是安全的,像这种已经算电脑被入侵了,电脑上所有软件都不安全了
SmiteChow
2023-04-17 10:20:08 +08:00
cookie 就是你得身份证,所以谨慎使用别人提供得翻墙服务,特别是前端代理(一个第三方网站兼容所有墙外网站)翻墙服务
bobryjosin
2023-04-17 10:22:18 +08:00
edge 可以把你 chrome 登录状态拿过来,其他的第三方一样可以
calcoe
2023-04-17 10:23:10 +08:00
是的,几乎都是有 cookie ,UA 基本对应上,就可以登录。那些卖黑 facebook 账号的都是提供 cookie 加 UA 。
sblid
2023-04-17 10:25:24 +08:00
验不验证完全看网站如何选择,有些网站如果遇到 ip 变化就会要求重新登陆,但大部分都不做验证。
changepll
2023-04-17 10:45:29 +08:00
如果做的严谨一点. 可以加浏览器指纹来做. 但一般很少这样做
56rhcrivs55TVKdX
2023-04-17 11:12:21 +08:00
都安装恶意软件了, 还在担心 cookies ?
Xusually
2023-04-17 11:15:58 +08:00
验证 ip 基本上登录的时候会做,而且就算是登陆时候验证,更常见的是验证登录地区,ip 限制不那么严格。

电玩科技 AK 账号拿回来的过程恰恰也利用了这一点,他自己找了个和盗号者登陆他账号同 state 的梯子线路去找回了账号,不然的话他也面临更严格的风控。
julyclyde
2023-04-17 11:26:24 +08:00
为啥总有人想到 mac 地址呢?网络分层模型没去过?
qwq11
2023-04-17 11:42:12 +08:00
mac 是获取不到的,数据包里的 mac 是上一个路由器的 mac ,不是客户端的,op 补一下计网知识。其次限制 ip 有很多私人站点是有的,比如 pt 站,因为搞 pt 的人一般都会有个不变的公网 ip 。最后你说复制 cookie ,Chrome 的 cookie store 是加密的(当前登录用户),所以在不给权限的情况下是拿不到 cookie ,除非你给了权限,那有了权限就可以为所欲为,偷 cookie 算是比较轻的一种了
totoro625
2023-04-17 11:42:54 +08:00
被盗过 cookie
Google 直接跳账户被盗,全部登录状态都掉了,具体被操作了什么 /发生了什么不清楚,官方说帮我回滚了被盗前的状态,强制我修改了密码
Twitter 账户官方标注“禁止逃脱永久冻结”,申述 6 个月后回来了,盗号者发了 20+条币圈推并艾特了一堆人
Instagram 账户永封,尚未申述成功
leeraya
2023-04-17 11:47:04 +08:00
类似 CSRF ,窃取用户 token 进行请求伪造。另 http 请求头又个 referer 可以识别是从哪里发起的请求,但是鸡肋的是这个请求头能通过手段修改或者直接不传,这样后端就拿它没办法了。一般这种都是页面埋 csrf_token 来着,基本理念就是加大请求伪造的难度,避免请求伪造。
icebearloveu
2023-04-17 11:48:43 +08:00
莫名其妙的发现有别人的账号

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/933054

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX