Si un pirata informático hace una copia de todas mis cookies de navegación, ¿qué podría hacer con eso? ¿Cuáles son los peores escenarios?
Eso depende de lo que esté en su cookie y de cómo la utiliza la aplicación web. Digamos que es su ID de sesión / cookie iniciada (que usted no ha cerrado), podría representar su identidad. Eso significa que puede hacer lo que quiera, dependiendo de la aplicación web, incluido cambiar su contraseña y hacerse cargo de su cuenta.
Esto varía según los sitios que uses y cómo los tratan. En la mayoría de los casos en los que no tiene que iniciar sesión para regresar a un sitio, la persona que haya copiado sus cookies recibirá el mismo tratamiento.
La forma en que esto se implementa varía entre los sitios. Podría ser tan feo como almacenar su contraseña real en la cookie (rara pero no invisible) o tan bueno como proporcionar una cookie única para cada inicio de sesión y proporcionar una herramienta para revocar sesiones individuales o todas las sesiones.
Muchas implementaciones revocarán el acceso en un cambio de contraseña y requerirán que se proporcione la contraseña antigua para establecer una nueva contraseña, lo que brinda alguna forma de recuperar el control.
El núcleo del problema es que un servidor web crea confianza sobre la base de cookies que están bajo el control de:
http . Entre el peor de los casos, tienes:
bob , por accidente o edición de sus cookies, obtiene acceso como alice al servidor web y, por lo tanto, a alice data, bob a su servidor web, bob pero con un historial falso de otro servidor web visitado, por lo que se crea un historial falso de bob de navegación
( bob llegó a linkedin.com redirigido desde big-dick.com ). Lea otras preguntas en las etiquetas web-browser cookies