- PVSM.RU - https://www.pvsm.ru -

Уязвимость на базе Cookies во всех браузерах позволяет взламывать сервисы Google

Сложноватый и длинноватый для написания новости «всё пропало» документ [1] описывает вектор атаки с использованием cookies, которому подвержены все основные браузеры и веб-сервисы, в т. ч. Google.

Суть атаки в том, что атакующая сторона через MITM или контроль связанных доменов может установить «печеньку» по незащищенному протоколу HTTP, а браузеры затем будут использовать её для HTTPS сессий (т.к. браузеры не используют для cookies разделение по транспорту, через который они были установлены).

Исследователям удалось продемонстрировать два использования уязвимости на сервисах Google: в первом случае жертве в Gmail подставлялся чужой чат, во втором случае похищалась история поисковых запросов.

Источник [2]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/google/99518

Ссылки в тексте:

[1] документ: https://www.usenix.org/system/files/conference/usenixsecurity15/sec15-paper-zheng-updated.pdf

[2] Источник: https://roem.ru/25-09-2015/208098/vu804060-cookies-gate/