Second Opinion
Folosind serviciul second opinion ne puteți trimite RMN-uri, CT -uri, angiografii, fișiere .pdf, documente medicale. Astfel vă vom putea da o opinie neurochirurgicală, fără ca aceasta să poată înlocui un consult de specialitate. Răspunsurile vor fi date prin e-mail în cel mai scurt timp posibil (de obicei în mai putin de 24 de ore, dar nu mai mult de 48 de ore). Second opinion – Neurohope este un serviciu gratuit. www.neurohope.ro |
Hackers discover way to access Google accounts without a password
Last Updated: Jan 29 2024 23:00, Started by
Olivian-Breda
, Jan 09 2024 09:54
·
8
#1
Posted 09 January 2024 - 09:54
Hackers discover way to access Google accounts without a password | The Independent https://www.independ...k-b2475384.html
‘Exploit enables continuous access to Google services, even after a user’s password is reset,’ researcher warns |
#2
Posted 09 January 2024 - 10:03
Chestia e foarte veche - se bazeaza pe cookie-urile din browser care contin si date de logare.
Practic iti fura acel cookie si se logheaza cu el, fara sa stie datele. Practic merge cam pe orice site ce necesita logare si ofera o logare "permanenta". |
#4
Posted 09 January 2024 - 10:16
e greu sa encodezi in sesiune si ip-ul de pe care s-a facut logarea intiala? cand e accesat serviciul cu ip din china sa vezi ca defapt cookie nu ii apartine..
|
#5
Posted 09 January 2024 - 10:18
Interesant. O sa fac un test cu contul nevestei Doar sa vad cum sa-i "fur" prajiturile de pe laptop.
|
#6
Posted 09 January 2024 - 10:22
nu prea conteaza browser-ul pt ca acele cookie-uri sunt relativ generice. Din ce imi dau seama, nu e ca si cum aceste cookie-uri pot fi furate fara ca tu, ca utilizator, sa instalezi ceva software malitios pe propriul PC. Altfel zis, nu downloada programe din surse suspecte.
laffin, on 09 ianuarie 2024 - 10:16, said:
e greu sa encodezi in sesiune si ip-ul de pe care s-a facut logarea intiala? cand e accesat serviciul cu ip din china sa vezi ca defapt cookie nu ii apartine.. daca exista un hacker cat de cat destept, o sa foloseasca un VPN si sa para sa fie in aceeasi tara din care a furat si cookie-ul. In rest, daca encodezi IP-ul in cookie, o sa ai probleme (mai ales pe telefoane mobile) cand schimbi reteaua si ai un nou IP public. Va trebui sa te loghezi din nou la fiecare schimbare de IP. Sa nu uitam ca siguranta e un echilibru intre usurinta de utilizare si securitate. Asa poti invalida cookie-urile zilnic fara probleme, dar ar fi o experienta naspa pt utilizator sa se logheze zilnic. |
#7
Posted 09 January 2024 - 10:24
Pai este un malware care e instalat si fura acele cookie-uri.
Nu neaparat instalat de tine, se mai intampla ca accesand pagini de net sa iei ceva malware, chiar pe site-uri legitime, din cauza unor reclame third-party care au fost "sparte" de hackeri. Stiu caz in care s-a luat ransomware asa. Nu stiu in ce masura "hackerii" respectivi mai umbla la cookie-uri, dar e foarte posibil sa nu le foloseasca in forma originala si sa le altereze cumva. Dat fiind ca procedura e una antica - a aparut cam odata cu primele cookie-uri, s-au luat si ceva masuri de protectie in timp. |
#8
Posted 09 January 2024 - 10:39
Nu e doar un simplu furt de cookie.
In articol se zice ca exploit functioneaza si dupa ce parola e schimbata. Absolut orice site iti invalideaza cookies daca schimbi parola. Astia de la google sunt in general praf la orice, ca si Microsoft, dar sigur nu sunt chiar asa batuti in cap incat sa nu invalideze cookies vechi la schimbarea parolei. |
#9
Posted 09 January 2024 - 10:53
Asa au fost LTT hackuiti, li s-a furat acel cookie de logare...
|
#10
Posted 09 January 2024 - 10:57
Problema a aparut la Chrome, care are facilitatea minunata de a loga utilizatorul, si aparent se putea autentifica si la serviciile Google. Nu stiu cum reusea atacatorul sa regenereze cheile, dar evident a gasit o solutie. Cu Firefox in mod neautentificat si cu third-party cookies disabled nu este absolut nicio problema.
|
|
#11
Posted 09 January 2024 - 11:01
krtyna, on 09 ianuarie 2024 - 10:39, said:
Nu e doar un simplu furt de cookie. In articol se zice ca exploit functioneaza si dupa ce parola e schimbata. Acum mai e inca o chestie - la unele site-uri daca esti logat cu mai multe dispozitive si schimbi parola pe unul din dispozitive am constatat ca nu te delogheaza de pe celelalte. Ramai logat in continuare |
#12
Posted 09 January 2024 - 11:11
Inseamna ca siturile alea fac autentificare o singura data, apoi genereaza cookie pentru acel domeniu pe care se bazeaza la urmatoarele autentificari. Daca nu fac hashul la cookie impreuna cu o cheie primita de la google, care ar trebui sa se schimbe o data cu parola, atunci ramai logat in baza cookie de la acel site
|
#13
Posted 09 January 2024 - 12:47
#14
Posted 09 January 2024 - 13:57
cât timp EI m-ascultă ce vb în bucătărie cu nevasta, nu văd de ce m-aș ofusca că îmi ȘI umblă prin browser
că, parcă? , bitdefenderul nu-l lasă să intre și prin alte programe... |
#15
Posted 09 January 2024 - 16:43
S-a rezolvat deja. Ar fi culmea ca zecile de mii de angajati Google, unii platiti obscen, sa nu poata rezolva asta.
|
|
#16
Posted 09 January 2024 - 20:33
#17
Posted 11 January 2024 - 10:51
Exista o multime de tutoriale despre cum sa ascunzi un fisier exe intr-un document pdf continand sa zicem un c.v. fals sau un contract de sponorizare. Nici antivirusul nu detecteaza nimic suspect. Pentru acces la mail-uri externe e bine sa ai un pc dedicat cu linux si deconectat de la reteaua interna. Asta ca masura de siguranta pentru firmele mari.
Edited by Leo2006, 11 January 2024 - 10:57. |
#18
Posted 11 January 2024 - 21:52
Olivian-Breda, on 09 ianuarie 2024 - 09:54, said:
‘Exploit enables continuous access to Google services, even after a user’s password is reset,’ researcher warns Sa fim seriosi, asta-i problema elementara de securitate. Cand un user da reset la parola sistemul sterge toate tokens de securitate salvate pe cont |
Anunturi
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users