我已經在我的PC上安裝了Opera,只是爲了做一些網頁開發測試。在安裝之前,我們被問到是否想從默認瀏覽器(這是我的機器中的Chrome)複製一些內容(Cookies,歷史記錄,密碼等)。Opera如何複製Chrome cookies
我沒有改變任何東西,並在安裝Opera後啓動。當我看到我正在開發的系統讓我的用戶登錄時,我感到害怕,驚訝和充滿情緒的混合物。於是我決定查看其他網站是否也有這種相同的行爲。
對於我驚訝的是,臉譜,Gmail時,Github上,所有的網站都用我的用戶登錄。
這難道不是一種巨大的安全缺陷?
Opera如何複製它?因爲副本本身不應該保持用戶登錄。
順便說一下,這是複製cookie的好處嗎?我只能把它看成是一個安全失敗。
Cookie只是一個鍵值對,登錄cookie只包含您的登錄令牌的散列。瀏覽器必須將這些信息存儲在某個地方,並且它通常是用戶文件夾中的一個文件。如果使用的窗口位置通常是c:\ users \ \ AppData \ Local \ Google \ Chrome \ UserData \ Default。這篇文章有更多的信息:http://stackoverflow.com/questions/31021764/where-does-chrome-store-cookies –
scrappedcola
好吧!我知道什麼是Cookie以及Chrome如何與Cookie協同工作,但我的問題與Opera製作的副本有關。 Opera從Chrome瀏覽器獲取了Cookie,所有這些網站都與我的用戶登錄。這是一個問題,因爲登錄令牌應該失效,因爲我從另一個瀏覽器訪問網站。 從這一點看(登錄cookie =登錄令牌的散列),並知道Opera正常複製它,我可以理解,從其他用戶複製cookie將允許我訪問該人的所有內容**。我認爲這種想法會讓我們接受CSRF的攻擊。 –
您必須登錄到同一臺計算機才能從其他用戶複製cookie。通常,除非擁有管理員權限,否則無法訪問他人的用戶目錄。如果你的系統安裝正確,不應該是個問題。 – scrappedcola