6
我已经在我的PC上安装了Opera,只是为了做一些网页开发测试。在安装之前,我们被问到是否想从默认浏览器(这是我的机器中的Chrome)复制一些内容(Cookies,历史记录,密码等)。Opera如何复制Chrome cookies
我没有改变任何东西,并在安装Opera后启动。当我看到我正在开发的系统让我的用户登录时,我感到害怕,惊讶和充满情绪的混合物。于是我决定查看其他网站是否也有这种相同的行为。
对于我惊讶的是,脸谱,Gmail时,Github上,所有的网站都用我的用户登录。
这难道不是一种巨大的安全缺陷?
Opera如何复制它?因为副本本身不应该保持用户登录。
顺便说一下,这是复制cookie的好处吗?我只能把它看成是一个安全失败。
Cookie只是一个键值对,登录cookie只包含您的登录令牌的散列。浏览器必须将这些信息存储在某个地方,并且它通常是用户文件夹中的一个文件。如果使用的窗口位置通常是c:\ users \ \ AppData \ Local \ Google \ Chrome \ UserData \ Default。这篇文章有更多的信息:http://stackoverflow.com/questions/31021764/where-does-chrome-store-cookies –
scrappedcola
好吧!我知道什么是Cookie以及Chrome如何与Cookie协同工作,但我的问题与Opera制作的副本有关。 Opera从Chrome浏览器获取了Cookie,所有这些网站都与我的用户登录。这是一个问题,因为登录令牌应该失效,因为我从另一个浏览器访问网站。 从这一点看(登录cookie =登录令牌的散列),并知道Opera正常复制它,我可以理解,从其他用户复制cookie将允许我访问该人的所有内容**。我认为这种想法会让我们接受CSRF的攻击。 –
您必须登录到同一台计算机才能从其他用户复制cookie。通常,除非拥有管理员权限,否则无法访问他人的用户目录。如果你的系统安装正确,不应该是个问题。 – scrappedcola