從電子郵件訪問cookie？

Question

是否可以通過電子郵件訪問cookie？我擔心的是，可以通過發送電子郵件來竊取Facebook登錄Cookie。

我知道有可能將用戶重定向到一個URL，而不需要他知道它。例如，我曾經顯示一個1x1 gif將用戶重定向到一個url（我用它來打開電子郵件打開統計信息）。如果在目標網址上創建一個惡意的js腳本：我能訪問用戶的cookie嗎？

或者換句話說，如果電子郵件中存在鏈接並且用戶點擊鏈接，目標網站是否可以訪問用戶的Cookie？

我讀this;有沒有人有關於這個問題的更多細節？

@ user3345621

謝謝您的回答，這似乎是正確的我。 但是再次拿起Facebook的例子，我有幾個問題：

我可能是錯的，但我認爲cookie加密在這種情況下不起作用。 Cookie加密有助於隱藏密碼，以防例如我訪問本地機器 並直接查看cookie。 但是，如果我使用加密的cookie，我將能夠使用它們，並讓facebook執行解密工作。 換句話說，只要應用程序（本例中的facebook）會爲您解碼它，我認爲cookie是否加密並不重要， 。

現在，對於cookie被重新創建的事實也有同樣的評論。 我認爲這是使用session_regenerate_id函數的直接結果。

但無論如何，我的理解（這可能是錯誤的）是，即使cookie被重新創建， 如果黑客送你一個惡意的電子郵件，他將獲得餅乾 的最新版本反正因爲在技術我在描述時，你被重定向到一個惡意網站 ，這樣網站在打開時就可以訪問當前的cookie（如果可能的話）。

？

Answer 1

我想給我的電子郵件如下圖：

http://localwebsite/js.php 

這將提醒（「東西」：

<img src="http://localwebsite/js.php" /> 

在我的本地機器上，我在此URL創建一個頁面）使用JavaScript。

發送電子郵件給我自己， 我預計郵件客戶端將打開一個Web瀏覽器頁面並打開js彈出窗口 ，但事實並非如此。

發生了什麼事是，因爲它不是一個真正的形象，（在Mac上使用電子郵件） 我的郵件客戶端沒有顯示一個藍色方形感嘆號， 表明他無法顯示圖像。 即使我點擊「加載圖片」。 然後沒有更多的發生： 我認爲郵件客戶端轉到url並嘗試顯示消息 中的預期圖像，但由於沒有圖像，沒有任何更改。 網址在瀏覽器中並未打開，所有內容都在後臺完成。

在電子郵件中閱讀有關JavaScript的更多信息，似乎通常，在電子郵件中，JavaScript並不被解釋爲所有 。 我測試了它：發送包含電子郵件：

<script type="application/javascript">alert("pou")</script> 

郵件（MAC）不執行腳本。

因此，要回答這個問題，

我相信，黑客可以使用郵件唯一能做的是：

• 發送一個鏈接，然後如果你點擊該鏈接，任何事情都有可能發生
• 創建一個形象，他可以用它來跟蹤，如果你足夠謹慎，郵件are'nt一個很大的威脅，你是否已經打開了郵件

左右。 我是偏執狂...

Answer 2

我可能不正確，因爲我對應用程序安全性相當陌生。

這裏去我最好的拍攝，現在就餅乾：（？也許）

Cookies是特定領域（FACT），當你有一個網站的cookie存儲用戶ID和電子郵件只有Facebook的域名訪問那個cookie。此外，在大多數情況下，cookie中的信息（尤其是企業系統（如facebook））中的信息會被加密，而在其他情況下，會使用散列來掩蓋信息（事實分類）。

所以我們以facebook爲例，因爲它們使用強加密格式（FACT）。例如，如果您能夠獲得用戶的Facebook cookie，則需要對這些信息進行解密以便開始使用，因爲它對您有任何用處。到那時，一個新的cookie會被生成（darn facebook adddicts）。

出於安全問題，如果通過某種方式，您可以獲得不屬於您的域的用戶cookie，那將是一種破解（do'h！），你將需要檢查的任何瀏覽器（是的，你應該利用瀏覽器），即這樣的攻擊，或者找一個自己..

所以在這裏，他們是：

• 瀏覽器利用，攻擊一個特定的瀏覽器。
• 解密（或解除哈希）cookie，如果它被加密。
• 而這樣做都是因爲cookie已過期。

而世界是你的。