Воровство кук на вредоносных сайтах

0

1

Дилетантский вопрос. Начитавшись статей о безопасности, сделал для себя такой вывод, что, грубо говоря, при заходе на какой-то сайт, скрипты на этом сайте могут читать куки пользователя, относящиеся к другому сайту, и при желании копировать их куда-то в сеть, где из них можно узнать сохранённые пароли. Так ли это? Защищает ли от этого NoScript? И, главное, почему бы браузеру не запрещать доступ сайтов к «не своим» кукам? Может расширение есть для этого? Спасибо.

Ссылка

←	ESET NOD32 Gateway Security для Linux. Кто нибудь пробовал?

Мне страшно

→

NoScript вроде должен защищать.

~~XoFfiCEr~~ ★★☆☆
(12.03.13 20:34:29 MSK)

Ссылка

Строго говоря, нет, в самом браузерном яваскрипте предусмотрена защита и работать можно только со своим доменом. Но время от времени находятся уязвимости используя которые можно это обойти, от того и проблемы.

Алсо пароли в куках не хранят. Если хранят, то кража кук - это наименьшая из проблем такого сайта.

Kalashnikov ★★★
(12.03.13 20:42:04 MSK)

Ответ на: комментарий от Kalashnikov 12.03.13 20:42:04 MSK

в самом браузерном яваскрипте предусмотрена защита и работать можно только со своим доменом

Можно ссылку на подробности?

tonton
(12.03.13 20:50:17 MSK) автор топика

Это не так. Доступ к кукам вне домена закрыт. Доступ к кукам другого сайта является уязвимостью. Если кто-нибудь расскажет о практиках такого доступа - будет хорошо.

special-k ★★★★
(12.03.13 21:01:46 MSK)

Ссылка

Ответ на: комментарий от tonton 12.03.13 20:50:17 MSK

https://developer.mozilla.org/en-US/docs/DOM/document.cookie#Notes

Чтобы кражи кук не происходило, нельзя давать юзерам публиковать скрипты на сайте. Так же нужно быть осторожным с применением скриптов с других ресурсов. И, чтоб два раза не вставать, ajax запросы посылать на другие домены так же нельзя.

special-k ★★★★
(12.03.13 21:12:18 MSK)
Последнее исправление: special-k 12.03.13 21:13:48 MSK (всего исправлений: 1)

Ответ на: комментарий от special-k 12.03.13 21:12:18 MSK

Спасибо за ссылку!

tonton
(12.03.13 21:15:23 MSK) автор топика

Ссылка

Ответ на: комментарий от special-k 12.03.13 21:12:18 MSK

It is important to note that the path restriction does not protect against unauthorized reading of the cookie from a different path. It can easily be bypassed with simple DOM.

Тогда так: что ближе к реальности: 1) поставил NoScript и хомяки (и я в том числе) не знают проблем или 2) «хранить куки до закрытия firefox»

tonton
(12.03.13 21:34:11 MSK) автор топика

Ответ на: комментарий от tonton 12.03.13 21:34:11 MSK

«хранить куки до закрытия firefox»

Это не поможет от XSS во время текущей сессии работы firefox'а.

~~getup~~ ★
(13.03.13 00:02:45 MSK)

Ссылка

Ответ на: комментарий от special-k 12.03.13 21:12:18 MSK

Чтобы кражи кук не происходило, нельзя давать юзерам публиковать скрипты на сайте.

и как юзер, заходящий на какой либо сайт может знать - какие там скрипты ? (кто их писал, публиковал)

x905 ★★★★★
(13.03.13 08:18:11 MSK)

Ответ на: комментарий от x905 13.03.13 08:18:11 MSK

У меня создается впечатление, что ты думаешь, что зайдя на какой-то сайт, можно получить куки, например, с гугла. Нет, нельзя. Под угрозой только куки с этого же домена.

special-k ★★★★
(13.03.13 08:35:54 MSK)

Ссылка

20 июня 2013 г.

NoScript(защита от левых скриптов, AntiXSS) + RequestPolicy (блокировка любых запросов между сайтами) + CookieMonster (управление разрешениями для кукисов, может помочь). Всё - хрен кто стырит.

Ну ещё опционально Anti-Tracking подписки для AdBlock (могут потенциально поломать многие методы воровства кук), а также Malware Domains (тоже подписка).

И да, желательно в NoScript по умолчанию блокировать Frame/IFrame (не знаю, в чём между ними разница) и поставить галочку «блокировать и для доверенных».

Ну и куда попало не ходить ☺.

А вообще, чаще просто не заморачиваться и держать для критичных сайтов отдельный браузер/профиль браузера.

anonymous
(20.06.13 13:57:54 MSK)