AA
Size: a a a
2021 June 11
VG
А можно в кратце? Нас опять нае🦆ли?
AA
ну типа да. MS решил что IdentityServer будет платным. Раньше был бесплатным и OSS. Статья про то что:
End of the Free Lunch
You can only be a free rider for so long before the tab-payer takes notice - and when they do, you’re at their mercy.
End of the Free Lunch
You can only be a free rider for so long before the tab-payer takes notice - and when they do, you’re at their mercy.
D
а как куку угнали?
rd
Они её купили, а как угнал тот кто продавал неизвестно.
D
вот подробности бы
rd
Небось кто-то сидел через браузер в Slack и не на те сайты сходил =)
PD
Скорее не тот плагин поставил )
rd
Или так
PD
Не тот сайт - это же про уязвимость браузера, еще и свежая, это уже редкость, как я понимаю.
Какие есть еще варианты куку угнать? MtM в TLS?
Какие есть еще варианты куку угнать? MtM в TLS?
DP
я вот смотрю к себе в клиент, вроде бы та кука HttpOnly + Secure - как такое плагином угнать вообще? мне казалось, к такому и доступа нет из плагинов
rd
PD
Ну и странно, что одной куки достаточно для слака. Там что, долгоживущая многоразовая кука для аутентификации используется? Не схема с двумя куками на разных доменах?
PD
Вроде у некоторых плагинов есть доступ, но я не смотрел.
PD
Так доступа к server-side куке все равно же не должно быть?
AL
Только не сами MS, а какие-то чуваки, которые его пишут. Им денег не хватает.
AL
Есть у экстеншенов доступ к кукам, иначе как бы работали всякие просмотрщики и блокировщики кук?
DP
даже для
HttpOnly + Secure??PD
А Same-site не стоит?