Les autres programmes de mon PC peuvent-ils accéder à mon compte Google via les cookies des navigateurs Web?

12

Je suis curieux de savoir s'il est possible pour les autres programmes sur mon Windows 7 d'accéder à mon Gmail, étant donné que je me suis déjà connecté à mon compte Google dans Chrome (stable).

Si non, par quoi et comment sont-ils empêchés de l'accessibilité?

La prime est pour todda.speot.is.

Si vous avez une bonne réponse, je voudrais +1 au moins. XD

windows-7 google-chrome cookies
la source
Concernant la prime, y a-t-il autre chose que vous souhaiteriez que je clarifie dans ma réponse?
ta.speot.is
Je vais essayer de mettre à jour lorsque le temps le permet.
ta.speot.is

Réponses:

15

Vraisemblablement, oui. Si vous lisez les commentaires ici, cela implique que Chrome ne crypte pas les cookies et vous pouvez simplement copier votre profil d'utilisateur sur un autre PC et Chrome commencera à utiliser ces cookies.

Remplacez "vous pouvez simplement copier votre profil utilisateur sur un autre PC" par "une attaque peut copier votre profil utilisateur sur leur PC"

Ou, une application locale pourrait en faire une copie. Ce fil a un script Python pour exporter vos cookies Chrome.

Éditer:

Je ne peux pas dire si surfasbest à la traîne ou ne comprend tout simplement pas le fonctionnement de HTTP. Les cookies non cryptés sont le vecteur d'attaque utilisé par Firesheep . Qu'il soit retiré du fil ou du disque n'a pas d'importance. Une fois que vous avez le cookie, vous y êtes.

Voici un petit exemple pour "tromper" Google en lui faisant croire que netcat est Chrome. Notez que Google ne se soucie pas de ce qu'est mon navigateur, juste que j'ai les cookies que Google m'a donnés qui m'identifient à Google.

request_nocookie.txt:

GET http://www.google.com.au/ HTTP/1.1
Host: www.google.com.au
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/13.0.782.112 Safari/535.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-GB,en-US;q=0.8,en;q=0.6
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3

request_cookie.txtest le même que ci - dessus, mais avec mon PREF, SID, HSISD, les NIDcookies pour .google.com. Je ne vais pas vous les montrer, car ils sont à moi :)

Ces deux commandes envoient les demandes à Google, puis enregistrent la réponse.

type request_nocookie.txt | nc www.google.com 80 > response_nocookie.txt
type request_cookie.txt | nc www.google.com 80 > response_cookie.txt

Maintenant que nous avons les réponses ...

find "Todd" < response_nocookie.txt > NUL
echo %ERRORLEVEL%
1

Un niveau d'erreur non nul est un échec. Mon nom n'apparaît pas dans la réponse, car sans les cookies, Google ne me connaît pas.

Et quand nous avons le cookie?

find "Todd" < response_cookie.txt > NUL
echo %ERRORLEVEL%
0

Un niveau d'erreur nul est un succès - nous avons trouvé mon nom dans la réponse! Il est en fait là plusieurs fois, car la barre d'outils en haut contient un tas de choses liées à mon compte Google Plus.

Je vais laisser cela comme un exercice au lecteur: si vous le voulez vraiment, vous pouvez vous connecter à un compte Google Plus avec des outils légèrement meilleurs. Google Plus nécessite SSL (ce qui ne le rend pas plus sûr pour un utilisateur qui supprime les cookies du disque, mais cela arrête Firesheep).

ta.speot.is
la source
Je vous remercie. De plus, la plupart des antivirus me préviendraient-ils lorsque d'autres programmes le font?
Bien que cela exporte vos cookies, cela ne vous permet pas d'accéder aux comptes Google. Allez-y et prenez le contenu de ce cookie et écrivez-vous une application et essayez d'accéder à leurs informations de compte. Il y a plus que cela côté client. . .
surfasb
@Dante - il est très peu probable qu'un scanner AV vous avertisse si une application lit vos cookies Chrome. De plus, ce type de comportement résoudrait le problème au mauvais niveau (empêcher les logiciels malveillants sur votre machine de lire vos cookies). Au lieu de cela, vous devriez le résoudre d'un niveau supérieur (arrêtez les logiciels malveillants sur votre machine!)
ta.speot.is
C'est l'une des réponses les plus complètes sur SuperUser. Je voterais deux fois si je le pouvais!
TFM
Je vous remercie. (et cela n'aurait pas été aussi détaillé si surfasb n'avait pas été si mal. Alors merci surfasb, pour ne pas savoir comment HTTP fonctionne!)
ta.speot.is
-1

Lorsque vous vous êtes connecté à Gmail ou à votre compte Google, l'option "Remember be" était probablement activée, cela a indiqué à Google que vous ne vouliez pas avoir à taper votre mot de passe à chaque fois, alors ils ont dit à votre navigateur (Chrome) de se souvenir de votre Gmail / ID de session de compte Google qui est enregistré dans ce qu'on appelle un "cookie" qui n'expire pas lorsque vous quittez votre navigateur.

C'est ça que tu voulais savoir?

Nexerus
la source