Профессор и хакер Сэм Боун (Sam Bowne) еще в декабре прошлого года поднял тему с повторным использованием cookie для перехвата чужих сессий, в том числе после окончания этих сессий. Если вы сумели получить чужой файл cookie, прослушивая трафик в общественном хотспоте, то можете импортировать его у себя в браузере (например, с помощью расширения Edit This Cookie) — и продолжить чужую сессию уже от своего имени. То есть можно войти в чужой аккаунт без знания пароля пользователя, хотя он уже закрыл сессию.

В прошлом году профессор написал по этому поводу в Microsoft, но те ответили, что это известная проблема и в каком-то смысле даже ожидаемое поведение веб-сайта.

Сейчас Сэм Боуни решил проверить, как обстоят дела с использованием старых cookie в разных популярных веб-сервисах. Вот какие результаты он получил.

Список сервисов, которые запрещают повторное использование cookie

Discover Card
Craigslist
Travelocity
Gmail
Tweetdeck
Facebook
Ars Technica
Slashdot
(ISC)^2
LastPass
Passpack
Need My Password
Mitto
My1Login
Dropbox
alpha.app.net
Godaddy

Список сервисов, в которых уязвимость до сих пор актуальна

Chase 
American Express 
Amazon
NetFlix
TigerDirect
IBM
Adobe
Office 365 и Live.com 
Yahoo mail
Twitter
LinkedIn
Wordpress
Apple's iCloud
Stumbleupon
Flickr
Forbes
Huffington Post
The Guardian
The New York Times
The Register
Reddit
Cloudflare (исправляют)
Github
CourseSmart
Waze
Vimeo



Оставить мнение