Ваш аккаунт легко взломать! Миф или реальность?

Если в поиски ввести запрос, к примеру: «Взлом vkпри помощи cookies». Вам выйдет море статей и видео, как это сделать. Прям глаза разбегаются. Но это касается не только соц сетей, это актуально для любых сайтов.

Пару лет назад, это может и было актуально, но не в 2017 году. Потому что сейчас эта уязвимость устранена. Мало того, что браузеры подвергались массовым исправлениям ошибок и улучшениям своего кода, механизма работы. Но и защита в интернете стала более лучше и эффективней. Сейчас практически каждый крупный сайт, имеет защищенное соединение по протоколу SSLсертификата безопасности. Что дает 100% защиту от перехвата cookies через сеть интернет. Теперь cookies имеет атрибут secure* и передаются по ssl, JavaScript не поможет из-за HttpOnly. И для перехвата, cookies должны иметь атрибут Secure. Таким образом, перехват cookies практически не возможен в интернете.

Но практически – это не значит невозможно. Вы, наверное, подумаете «вот ничего себе» писал об чуть ли не идеальной защите от перехвата и тут же начинает опровергать свои же слова. Но если вы внимательно читали, то заметили, я упоминал про интернет. Да, через интернет это сделать невозможно. Даже если у вас выманили remixsid cookies, он бесполезен без двух главных cookies " l " и " p ", которые отвечают за авторизацию. С ними не нужен даже remixsid ;) Так как он автоматически создается на их основе. И опять я о невозможном. :) Так вот, все это справедливо для сети интернета. Но ведь есть еще и локальная сеть. Тут конечно есть свои особенности. Учитывая, сколько сейчас мест с открытыми Wi-Fi точками доступа. И многие из нас любят посидеть в таких местах, да еще за чашечкой чая.

Вот тут-то, Вы становитесь лакомством для злоумышленников. Как говорится, «бесплатный сыр только в мышеловке», так и тут. Имея правильный софт. Например: ARP-спуфинг и Cookie cadger. Можно полностью отсканировать всю локальную сеть открытого доступа и перехватывать обмен пакетами с любого ПК, подключенного к этой сети. А отфильтровать эти пакеты и найти в них cookies от нужного сайта не составит труда.

Есть еще один интересный и простой способ. :) Ну тут совсем все просто. Приходите к другу и вдруг вам срочно понадобилось зайти в свой аккаунт в одной из соц сети. Вы авторизовались и браузер вашего друга с генерировал Ваши cookies. Посидели на своей страничке, ну и мало ли, отошли в туалет. Друг в это время спокойно заходит в настройки браузера. Если это Chrome, то кликает по ссылке Дополнительные, затем переходит в Настройки контента и в самом вверху переходит в Файлы cookie. В строки поиска файлов cookie вводит имя домена соц сети, которую вы посетили и там кликает по нужному результату, копирует Ваш remixsid cookies, сохраняет куда-нибудь и ждет вашего возвращения. Потом вы выходите из своей странички и едете домой. Думая, что вы же вышли и он не зайдет к вам, не зная пароля.

И тут самое интересное. Без Вас он заходит в браузер, устанавливает расширение Edit This Cookie, добавляет там Ваш remixsid cookies. Обновляет страничку и о чудо, он сидит под вашим аккаунтом. :)

Я Вам советую, не сидеть через открытую точку доступа, если сидеть, то только с хорошим антивирусом, на котором есть Firewall. Ну и не помешает, вне дома заходить в режиме Инкогнито. Благо он сейчас есть почти во всех браузерах. После выхода из этого режима, все данные тут же стираются.

До новых статей. И помните! «Предупрежден - значит вооружен».