дыра
В комментариях у ibicvs зашёл разговор о недавнем взломе почты Навального, в ходе которого я заподозрил и проверил экспериментально удивительную вещь. Либо я туплю и тогда поправьте меня, либо в безопасности Гугла не то что дыра - там провал! Окно! Дверь в Нарнию!
Суть состоит в том, что при смене пароля к гуглоаккаунту старые куки продолжают работать как ни в чём не бывало!
Логинимся в двух браузерах в гугл, меняем в одном из них пароль, даже разлогиниваемся обратно. Идём во второй браузер - оляля, всё работает, никаких попыток узнать, кто там! Входи кто хочешь, бери что хочешь!
Это вообще нормально? Этак хакер хелл может всю жизнь теперь почтой Навального манипулировать и никакие смены паролей не помогут. Класс!
Апдейт. Не так всё плохо, относительно быстро сессия заканчивается. Но если успеть в это время привязать, к примеру, телефон?
Суть состоит в том, что при смене пароля к гуглоаккаунту старые куки продолжают работать как ни в чём не бывало!
Логинимся в двух браузерах в гугл, меняем в одном из них пароль, даже разлогиниваемся обратно. Идём во второй браузер - оляля, всё работает, никаких попыток узнать, кто там! Входи кто хочешь, бери что хочешь!
Это вообще нормально? Этак хакер хелл может всю жизнь теперь почтой Навального манипулировать и никакие смены паролей не помогут. Класс!
Апдейт. Не так всё плохо, относительно быстро сессия заканчивается. Но если успеть в это время привязать, к примеру, телефон?