Вот к примеру, я зашел (авторизировался) на одном сайте. Потом в новой вкладке зашел на другой сайт, там тоже авторизировался, т.е. ввел логин и пароль. Так может ли первый сайт украсть пароль и логин второго? То есть может ли админ запрограммировать его так, чтоб он перехватывал другие сессии и пароли своих пользователей? Типа такого рода хакерство. Такое возможно сейчас? Я просто не силен в программировании, но меня беспокоит, что админ одного из сайтов может собирать информацию о том, куда еще заходят пользователи его сайта и перехватывать пароли с логинами от почтовых ящиков и других важных сайтов.
-
B правой части каждого сообщения есть стрелки ⇧ и ⇩. Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок ✔ в правой части сообщения.
Можно ли так украсть пароль или сессию?
- Автор темы taigeroo
- Дата начала
Нет, так быть не может.
Какой смысл ему это делать, если он админ и у него есть доступ ко всей базе пользователей
Если вы не устанавливали какое-то ПО с этого сайта, версия браузера у вас последняя, то такой вектор атаки маловероятен.
Но! Если по определённым метрикам можно вычислить на каких сайтах был пользователь - это всё сделано для большей эффективности таргетированной рекламы.
Речи о перехваченных таким образом логинов и паролей не идёт.
Считается - что эта информация не персонифицированна
Я имею в виду не пароль от его сайта, а пароли от других сайтов.
Ну вот сморите, я зашел на ваш сайт, вы админ и знаете какой у меня пароль и логин. Знаете, т.к. у вас есть база пользователей в админке. Но вот я в другой вкладке зашел на почту, и ввел туда свои логин и пароль. Так вот если бы вы были любопытным хакером, могли бы вы каким-то образом узнать на какой сайт, помимо вашего, я заходил и какой там пароль и логин? Я не только себя имею в виду, а вообще пользователей. Допустим у вас форум и вам пригляделся какой-то пользователь и вы бы хотели узнать о нем побольше, смогли бы узнать пароли через перехваченную сессию? Тем более если он не на Виндовсе, а на Линуксе? Что бы вы сделали для этого? Что-то мне подсказывает, что это можно, к примеру, через куки.
Админ сайта, на котором ты сидишь, никак не может узнать, какие вкладки у тебя открыты и уж тем более, какие данные ты там вводишь.
Однако, если у тебя уязвимый браузер (как правило, какой-нибудь устаревший), то на тебя возможно провести такую атаку. Ставь свежий браузер и не устанавливай в него подозрительные дополнения.
Последнее редактирование:
Логика тут банальная - для каждого ресурса использовать свой пароль...
Но, тут важно понимать, что в большинстве нормальных почтовых сервисов вы всегда можете видеть, откуда был вход - по крайней мере по IP адресу.
Если какое-то место вас смущает, надо сразу менять пароль
Да, админ может узнать его пароль в том случае, если эти пароли хранятся в незашифрованном виде.
Если пароль достаточно длинный и эти пароли шифруются, то даже админу на расшифровку может понадобится уйма времени.
Система тут абсолютно не при чём.
Я ещё раз вам говорю, что кукисы к паролю не имеют отношения.
Если кто-то (админ, злоумышленник, пентестер) получили ваши кукисы, то они смогут зайти под вашей учёткой на тот сайт, который передал кукисы. Но! В 99% случаев, если это не какой-то самопальный сайт, пароль там будет скрыт, если вообще будет где-то хранится. И узнать его он не сможет.
Обучение наступательной кибербезопасности в игровой форме. Начать игру!