Профессор и хакер Сэм Боун (Sam Bowne) еще в декабре прошлого года поднял тему с повторным использованием cookie для перехвата чужих сессий, в том числе после окончания этих сессий. Если вы сумели получить чужой файл cookie, прослушивая трафик в общественном хотспоте, то можете импортировать его у себя в браузере (например, с помощью расширения Edit This Cookie) — и продолжить чужую сессию уже от своего имени. То есть можно войти в чужой аккаунт без знания пароля пользователя, хотя он уже закрыл сессию.
В прошлом году профессор написал по этому поводу в Microsoft, но те ответили, что это известная проблема и в каком-то смысле даже ожидаемое поведение веб-сайта.
Сейчас Сэм Боуни решил проверить, как обстоят дела с использованием старых cookie в разных популярных веб-сервисах. Вот какие результаты он получил.
Список сервисов, которые запрещают повторное использование cookie
Discover Card Craigslist Travelocity Gmail Tweetdeck Facebook Ars Technica Slashdot (ISC)^2 LastPass Passpack Need My Password Mitto My1Login Dropbox alpha.app.net Godaddy
Список сервисов, в которых уязвимость до сих пор актуальна
Chase American Express Amazon NetFlix TigerDirect IBM Adobe Office 365 и Live.com Yahoo mail Twitter LinkedIn Wordpress Apple's iCloud Stumbleupon Flickr Forbes Huffington Post The Guardian The New York Times The Register Reddit Cloudflare (исправляют) Github CourseSmart Waze Vimeo
