Cookie 盗号的问题?

2023-04-17 09:49:30 +08:00
 0littleboy

事情起因是看到电丸科技被盗号的事,据说是下载了恶意软件,被上传了浏览器的 cookie

但我有些疑问

在别人电脑上拷贝 cookie 的 sessionid 就可以直接在自己电脑上登陆了吗

后端难道没有 mac 地址验证,ip 地址验证的东西吗?

5413 次点击
所在节点    程序员
32 条回复
leehon
2023-04-17 13:15:14 +08:00
路径上讲,就是这么简单。前不久 FBI 就打掉一个出售 cookie 的俄罗斯黑产网站,最主要的就是 FB 的 cookie ,国内也曾经流行盗腾讯 QQ ptlogin 的 cookie ,可以登录邮箱,QQ 空间,那黑灰产后续可做的事情可太多了
yidev
2023-04-17 13:20:09 +08:00
建议 cookie 绑 user-agent,稍微安全点. 曾经绑 IP 被骂的半天下线.
wanwaneryide
2023-04-17 16:31:57 +08:00
能搞到你的 cookie 的话,搞到你常用的登录 ip 地区不难吧,然后找个你 ip 地址附近的代理 ip 也不是太难吧。
yuqiuqiu
2023-04-17 16:43:46 +08:00
只要在别人电脑拿到了 cookie 的 sessionid ,就可以在自己电脑上登录了,但是如果设置了失效时间,就只能登录一段时间
kaddusabagei38
2023-04-17 16:47:08 +08:00
这个问题还是得看对应的网站把安全措施做到了哪一步。

如果登录仅仅只是验证个 cookie ,那确实随便了,事实上大多数网站也都是这样。

但如果 cookie 只是其中一个要素,还要看登录 ip 之类的东西,那就不会这样了。

一般来说支付相关的网站会严格一点,其他的没见过太多。
mourner
2023-04-17 16:56:11 +08:00
这个很难避免,
如果恶意软件都能把你的 cookie 上传,
那么你的电脑所有的内容都已经算是公开,
网站是没办法判断当前登录的用户是否是盗号者,
除非每执行一步操作就要进行是否本人的验证.
JKeita
2023-04-17 17:31:49 +08:00
mac 地址属于数据链路层吧,应用层获取不到吧除非服务商用特殊方法收集。
miaomiao888
2023-04-17 18:50:38 +08:00
移动有流量穿透吧,IP 地址满世界跑,不知道现在还有没有,这要验证的话比如 QQ 时不时给你冻结。
abuabu
2023-04-17 19:21:44 +08:00
关于主题楼上都说的很对。但是他这个盗号最大问题是进行密码修改等敏感操作油管居然没有做任何验证,让人匪夷所思
Ericcccccccc
2023-04-17 19:25:57 +08:00
这...那输入密码的框也能直接盗密码?
Al0rid4l
2023-04-17 19:36:50 +08:00
鉴权都是只认凭据不认人, 大部分时候 cookie 就是这个凭据, 凭据丢了等于被盗这没问题

那么剩下的问题就是, 要不要把 (cookie, ip, mac) 这样或更多信息组成的 n 元组作为凭据?

大部分小厂估计就只用 cookie 作为凭据, 大厂一般都有风控都很常见, 诸如不常见的登录地就触发验证, 或是其他设备登录触发验证, 这和你说的 ip mac 本质上没什么区别

但是么, 越是严格的安全策略越是不方便, 安全和方便本来就矛盾, 最后只是看你接受付出多大的代价来交换
id80108900
2023-04-17 19:45:20 +08:00
刚刚看完视频,一个激灵,还是把杀毒软件给安上了,毕竟挺懒的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/933054

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX