可以在計算機之間複製cookie以模擬用戶嗎？

Question

我們有一個應用程序，除其他外，檢查cookie的存在並讀取和解密cookie的內容。儘管存儲在cookie中的數據不太敏感，但它已通過TripleDes加密進行了加密。今天提出的一個問題是，保存在一臺PC上的cookie是否可以複製到另一臺PC上，以及網絡應用程序是否會檢測到另一臺機器上存在此複製的cookie，並最終解密它在原始PC上的內容。

我的問題是這樣的： 我們使用標準的ASP.NET實現來保存cookie（即通過HttpResponse），index.dat文件是否阻止將cookie從一臺機器移植到另一臺機器上？如果index.dat文件也被傳輸和複製過，或者index.dat中有一些內部結構將cookie連接到特定的機器會怎麼樣？

Answer 1

絕對。這是一個方式，cross-site scripting (XSS) attacks工作：

1. 我注入的JavaScript到頁面
2. 我等着別人看的頁面
3. 我注入的JavaScript給我發你的cookies
4. 我登錄你並做壞事

這個特別的問題bit SO期間的私人測試版。

Answer 2

是的，竊取cookie是竊取用戶會話的常用技術。

有些網站嘗試將Cookie綁定到客戶端的IP上，但這在面對具有多個出界接口或其他瘋狂設置的大型企業代理時失敗。

Answer 3

除了其他答案。永遠不要相信任何來自Web應用用戶的內容，無論它是否加密。

這與在客戶端和服務器上驗證輸入的想法有關。不要相信客戶端的驗證已完成。

Answer 4

即使其他一切正常，如果有人可以物理訪問用戶的機器，他們可以將cookie複製到另一臺機器。

只需要克隆磁盤！