Bisakah program lain di PC saya mengakses akun Google saya melalui cookie browser web?

12

Saya ingin tahu apakah mungkin untuk program lain di Windows 7 saya untuk mengakses Gmail saya, mengingat saya sudah login di Akun Google saya di Chrome (stabil).

Jika tidak, dengan apa dan bagaimana mereka dicegah dari aksesibilitas?


Hadiahnya adalah untuk todda.speot.is.

Jika Anda memiliki jawaban yang bagus, setidaknya saya akan memberi +1. XD


sumber
Mengenai bounty, apakah ada hal lain yang Anda ingin saya jelaskan dalam jawaban saya?
ta.speot.is
Saya akan mencoba dan memperbarui ketika waktu mengizinkan.
ta.speot.is

Jawaban:

15

Agaknya, ya. Jika Anda membaca komentar di sini, itu menyiratkan bahwa Chrome tidak mengenkripsi cookie dan Anda hanya dapat menyalin profil pengguna Anda ke PC lain dan Chrome akan mulai menggunakan cookie itu.

Pengganti "Anda cukup menyalin profil pengguna Anda ke PC lain" dengan "serangan dapat menyalin profil pengguna Anda ke PC mereka"

Atau, aplikasi lokal dapat membuat salinannya. Utas ini memiliki skrip Python untuk mengekspor cookie Chrome Anda.

Edit:

Saya tidak tahu apakah surfasbtrolling atau tidak mengerti cara kerja HTTP. Cookie yang tidak terenkripsi adalah vektor serangan yang digunakan Firesheep . Apakah itu melepaskannya dari kabel atau dari disk tidak penting. Setelah Anda memiliki cookie, Anda masuk.

Berikut adalah contoh kecil untuk "menipu" Google agar berpikir bahwa netcat adalah Chrome. Perhatikan bahwa Google tidak peduli apa peramban saya, hanya saja saya memiliki cookie yang Google berikan kepada saya yang mengidentifikasi saya dengan Google.

request_nocookie.txt:

GET http://www.google.com.au/ HTTP/1.1
Host: www.google.com.au
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.112 Safari/535.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-GB,en-US;q=0.8,en;q=0.6
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

request_cookie.txtadalah sama seperti di atas, tetapi dengan saya PREF, SID, HSISD, NIDcookie untuk .google.com. Saya tidak akan menunjukkan kepada Anda, karena mereka milik saya :)

Dua perintah ini mengirimkan permintaan ke Google dan kemudian menyimpan respons.

type request_nocookie.txt | nc www.google.com 80 > response_nocookie.txt
type request_cookie.txt | nc www.google.com 80 > response_cookie.txt

Sekarang kami memiliki tanggapan ...

find "Todd" < response_nocookie.txt > NUL
echo %ERRORLEVEL%
1

Level kesalahan bukan nol adalah kegagalan. Nama saya tidak muncul di respons, karena tanpa cookie Google tidak tahu tentang saya.

Bagaimana dengan kapan kita memiliki cookie?

find "Todd" < response_cookie.txt > NUL
echo %ERRORLEVEL%
0

Level nol kesalahan berhasil - kami telah menemukan nama saya di respons! Sebenarnya ada beberapa kali, karena bilah alat di bagian atas memiliki banyak hal yang berkaitan dengan akun Google Plus saya.

Saya akan meninggalkan ini sebagai latihan untuk pembaca: jika Anda benar-benar ingin Anda dapat membiarkan diri Anda masuk ke akun Google Plus dengan beberapa alat yang sedikit lebih baik. Google Plus memerlukan SSL (yang tidak membuatnya lebih aman bagi pengguna mengambil cookie dari disk, tetapi itu menghentikan Firesheep).

ta.speot.is
sumber
Terima kasih. Selain itu, apakah sebagian besar anti-virus memperingatkan saya ketika beberapa program lain melakukannya?
Meskipun itu mengekspor cookie Anda, itu tidak membuat Anda masuk ke Akun Google. Silakan mengambil konten cookie itu dan tulis sendiri aplikasi dan coba akses informasi akun mereka. Ada lebih dari ini hanya dari sisi klien. . .
surfasb
@Ante - sangat tidak mungkin pemindai AV akan memberi tahu Anda jika aplikasi membaca cookie Chrome Anda. Lebih lanjut, perilaku semacam ini akan menyelesaikan masalah di tingkat yang salah (menghentikan malware di mesin Anda dari membaca cookie Anda). Alih-alih, Anda harus menyelesaikannya satu tingkat lebih tinggi (hentikan malware di komputer Anda!)
ta.speot.is
Ini adalah salah satu jawaban paling komprehensif tentang SuperUser. Saya akan memilihnya dua kali jika saya bisa!
TFM
Terima kasih. (dan itu tidak akan terlalu detail jika surfasb tidak salah. Jadi terima kasih surfasb, karena tidak tahu cara kerja HTTP!)
ta.speot.is
-1

Saat Anda masuk ke Gmail atau Akun Google Anda, opsi "ingat" mungkin diaktifkan, ini memberi tahu Google bahwa Anda tidak ingin harus mengetikkan kata sandi setiap kali, jadi mereka memberi tahu browser Anda (Chrome) untuk mengingat Gmail / Anda ID sesi Akun Google yang disimpan ke dalam apa yang disebut "cookie" yang tidak kedaluwarsa saat Anda keluar dari browser Anda.

Apakah ini yang ingin Anda ketahui?

Nexerus
sumber