AL
а чего нет? Но я не знаю, мб есть доступ к списку их, но не содержимому? У меня стоит cookie autodelete, и он показывает, с каких доменов на странице куки стоят. Содержимое кук не показывает
LaxSize: a a a
2021 June 11
DP
у той куки, что я смотрел, стоял
PD
А, это дырка, кстати, потенциальная
rd
Не надо исключать ещё вариант, что был какой-то баг, который уже пофиксили. Т.е. мы смотрим на то, что уже пофикшено =)
PD
Это да. Но в любом случае потерянная кука должна давать доступ на единицы минут, не дольше.
rd
А получается, как получилось =)
AL
@pavlyuchenko_denis @dphil порыл доки. Да, из экстеншенов все куки можно вытащить. Экстеншен запрашивает у юзера пемишен на доступ к кукам по шаблону урла. Можно запросить например
*://*.slack.com
И экстеншен получит все куки всех слаков в которых пользователь есть. https://developer.chrome.com/docs/extensions/reference/cookies/#type-Cookie
тут видно, что и все флажки - типа что за домен, secure httponly блабла - и есть методы, чтобы их перезаписывать своими значениями.
*://*.slack.com
И экстеншен получит все куки всех слаков в которых пользователь есть. https://developer.chrome.com/docs/extensions/reference/cookies/#type-Cookie
тут видно, что и все флажки - типа что за домен, secure httponly блабла - и есть методы, чтобы их перезаписывать своими значениями.
PD
Угу. Бойтесь экстеншенов с доступом к кукам )
DP
какая жесть.. 🙁
AL
Не факт. Если они просто с сервера прилетает Set-Cookie с exprires через минут 10, то они ведь могут и полагаться на то, что браузер сам добросовестно перестанет куку присылать. А экстеншен может просто менять куке Expiry date, и браузер продолжит ее слать.
AL
ну и даже если куки менялся каждые 2 минуты, эстеншен мог слушать событие (которое удобненько в апишке есть :D) и пересылать куку куда надо.
AL
Короче, мораль как всегда - не ставь на свой комп что попало.
PD
Ну, expiredate должен быть в куке, подписан ключем сервера(или даже зашифрован).
PD
А кука на auth домене вообще одноразовая
AL
Я во многом поэтому против всяких PWA, которые Гугловые активисты впаривают веб-разработчикам повсюду. Раньше было как? В интернете дичь, но хотя бы из браузера на нее смотреть можно так, чтобы твой комп в безопасности оставался. А все эти жирные АПИшки, которые Хромовцы придумывают, эту границу размывают. И теперь дичь не только в интернете, но и на компе 🙁
DP
ну, вообще, на мой скромный взгляд, у аддонов слишком много прав. Я бы хотел иметь такой набор прав, который позволит мне ставить аддон и не переживать. Сейчас же, мы получаем постоянные истории про проблемы с аддонами, типа этой - https://habr.com/ru/company/yandex/blog/534586/
PD
Ну, вот надо рассчитывать на то, что куки у клиента утекли и нужно быстро идентифицировать эту ситуацию. Схема с access+refresh tokens, например
VG
Всех с пятницей
DD
@gamussa это к вам