Чи можуть інші програми на моєму ПК отримати доступ до мого облікового запису Google через куки веб-браузерів?

Мені цікаво, чи можливо інші програми в моїй Windows 7 отримати доступ до моєї Gmail, якщо я вже ввійшов у свій обліковий запис Google у Chrome (стабільно).

Якщо ні, то чим і як їм заважати доступність?

Бонус призначений для todda.speot.is.

Якщо у вас є хороша відповідь, я хотів би поставити +1 хоча б. XD

Імовірно, так. Якщо ви прочитаєте тут коментарі, то це означає, що Chrome не шифрує файли cookie, і ви можете просто скопіювати свій профіль користувача на інший ПК, і Chrome почне використовувати ці файли cookie.

Замініть "ви можете просто скопіювати свій профіль користувача на інший ПК" з "атака може скопіювати ваш профіль користувача на свій ПК"

Або місцева програма може зробити її копію. У цій темі є сценарій Python для експорту файлів cookie Chrome.

Редагувати:

Я не можу сказати, чи surfasbє тролінг чи просто не розумію, як працює HTTP. Нешифровані файли cookie - це вектор атаки, який використовує Firesheep . Незалежно від того, дістається він з дроту чи з диска. Як тільки ви отримаєте печиво, ви входите.

Ось невеликий приклад, як "накрутити" Google на думку, що netcat - це Chrome. Зауважте, що Google не байдуже, що таке мій браузер, лише те, що у мене є файли cookie, які Google дав мені, що ототожнює мене з Google.

request_nocookie.txt:

GET http://www.google.com.au/ HTTP/1.1
Host: www.google.com.au
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.112 Safari/535.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-GB,en-US;q=0.8,en;q=0.6
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

request_cookie.txtте ж саме, що і вище, але з моїм PREF, SID, HSISD, NIDпечиво для .google.com. Я не збираюся їх показувати, бо вони мої :)

Ці дві команди надсилають запити в Google, а потім зберігають відповідь.

type request_nocookie.txt | nc www.google.com 80 > response_nocookie.txt
type request_cookie.txt | nc www.google.com 80 > response_cookie.txt

Тепер, коли у нас є відповіді ...

find "Todd" < response_nocookie.txt > NUL
echo %ERRORLEVEL%
1

Ненульовий рівень помилки - це збій. Моє ім’я не відображається у відповіді, оскільки без файлів cookie Google не знає про мене.

А як бути, коли у нас є печиво?

find "Todd" < response_cookie.txt > NUL
echo %ERRORLEVEL%
0

Нульовий рівень помилок - це успіх - ми знайшли моє ім’я у відповіді! Це насправді кілька разів, тому що на панелі інструментів вгорі є купа речей, що стосуються мого облікового запису Google Plus.

Я залишу це як вправу для читача: якщо ви дуже хочете, можете дозволити собі ввійти в обліковий запис Google Plus за допомогою дещо кращих інструментів. Google Plus вимагає SSL (який не робить його більш захищеним для користувача, який знімає файли cookie з диска, але він зупиняє Firesheep).

Коли ви ввійшли в Gmail або ви ввійшли в обліковий запис Google, можливо, параметр "запам'ятати бути" ввімкнено, і це повідомило Google, що вам не потрібно вводити свій пароль кожен раз, тому вони повідомили вашому браузеру (Chrome) запам'ятати ваш Gmail / Ідентифікатор сеансу облікового запису Google, який зберігається у так званому "файлі cookie", який не закінчується при виході з веб-переглядача.

Це те, що ти хотів знати?