Các chương trình khác trên PC của tôi có thể truy cập tài khoản Google của tôi thông qua cookie của trình duyệt web không?

Tôi tò mò liệu các chương trình khác trên Windows 7 của tôi có thể truy cập Gmail hay không, với điều kiện tôi đã đăng nhập Tài khoản Google của mình trong Chrome (ổn định).

Nếu không, bằng cách nào và làm thế nào họ bị ngăn chặn khỏi khả năng tiếp cận?

Tiền thưởng là dành cho baba.speot.is.

Nếu bạn có bất kỳ câu trả lời tốt, tôi sẽ +1 ít nhất. XD

Có lẽ, vâng. Nếu bạn đọc các nhận xét ở đây, họ ngụ ý rằng Chrome không mã hóa cookie và bạn chỉ cần sao chép hồ sơ người dùng của mình sang PC khác và Chrome sẽ bắt đầu sử dụng các cookie đó.

Thay thế "bạn chỉ có thể sao chép hồ sơ người dùng của mình sang PC khác" bằng "một cuộc tấn công có thể sao chép hồ sơ người dùng của bạn vào PC của họ"

Hoặc, một ứng dụng địa phương có thể tạo một bản sao của nó. Chuỗi này có tập lệnh Python để xuất cookie Chrome của bạn.

Biên tập:

Tôi không thể biết nếu surfasbbị troll hay chỉ không hiểu cách thức hoạt động của HTTP. Cookie không được mã hóa là vector tấn công mà Firesheep sử dụng . Cho dù nó lấy nó ra khỏi dây hoặc ra khỏi đĩa là không quan trọng. Khi bạn có cookie, bạn vào.

Đây là một ví dụ nhỏ để "lừa" Google nghĩ rằng netcat là Chrome. Lưu ý rằng Google không quan tâm trình duyệt của tôi là gì, chỉ là tôi có cookie mà Google đã cho tôi nhận dạng tôi với Google.

request_nocookie.txt:

GET http://www.google.com.au/ HTTP/1.1
Host: www.google.com.au
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.112 Safari/535.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-GB,en-US;q=0.8,en;q=0.6
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

request_cookie.txtcũng giống như trên, nhưng với tôi PREF, SID, HSISD, NIDcookie cho .google.com. Tôi sẽ không cho bạn xem chúng, vì chúng là của tôi :)

Hai lệnh này gửi yêu cầu tới Google và sau đó lưu phản hồi.

type request_nocookie.txt | nc www.google.com 80 > response_nocookie.txt
type request_cookie.txt | nc www.google.com 80 > response_cookie.txt

Bây giờ chúng tôi có câu trả lời ...

find "Todd" < response_nocookie.txt > NUL
echo %ERRORLEVEL%
1

Một mức độ lỗi khác không là thất bại. Tên của tôi không xuất hiện trong phản hồi, vì không có cookie, Google không biết về tôi.

Thế còn khi chúng ta có cookie?

find "Todd" < response_cookie.txt > NUL
echo %ERRORLEVEL%
0

Mức độ lỗi bằng 0 là thành công - chúng tôi đã tìm thấy tên của tôi trong phản hồi! Nó thực sự đã có một vài lần, bởi vì thanh công cụ trên cùng có một loạt các thứ liên quan đến tài khoản Google Plus của tôi.

Tôi sẽ để lại điều này như một bài tập cho người đọc: nếu bạn thực sự muốn, bạn có thể cho phép mình vào tài khoản Google Plus với một số công cụ tốt hơn một chút. Google Plus yêu cầu SSL (điều này không làm cho nó an toàn hơn đối với người dùng lấy cookie ra khỏi đĩa, nhưng nó sẽ dừng Firesheep).

Khi bạn đăng nhập vào Gmail hoặc Tài khoản Google của bạn, tùy chọn "nhớ là" có thể đã được bật, điều này nói với Google rằng bạn không muốn phải nhập mật khẩu mỗi lần, vì vậy họ nói với trình duyệt của bạn (Chrome) để nhớ Gmail / ID phiên tài khoản Google được lưu vào cái được gọi là "cookie" không hết hạn khi bạn thoát khỏi trình duyệt của mình.

Đây có phải là những gì bạn muốn biết?