Facebook 浏览器间cookie导出中的安全问题_Facebook_Cookies_Identity_Identityserver4_Identityserver3

Facebook 浏览器间cookie导出中的安全问题

facebook cookies identityserver4

Facebook 浏览器间cookie导出中的安全问题,facebook,cookies,identity,identityserver4,identityserver3,Facebook,Cookies,Identity,Identityserver4,Identityserver3,我再次发布了一个问题，因为我认为这是问这个问题的正确地方我想知道Facebook为什么不处理浏览器之间的cookie导出和相关的安全问题。当他们使用“记住我”选项时，情况会更糟，因为cookie将在机器中保留很多天，如果是共享计算机，有人可以轻松地蒸制这些cookie 我认为即使是谷歌也没有这样做。我用cookies从google复制了CURL，并在命令行中执行它，我能够得到预期的输出（邮件）。在大多数情况下，这2个被用作身份提供者。因此，我相信，使用这两个作为身份提供者并使用它们提供的记住我

我再次发布了一个问题，因为我认为这是问这个问题的正确地方

我想知道Facebook为什么不处理浏览器之间的cookie导出和相关的安全问题。当他们使用“记住我”选项时，情况会更糟，因为cookie将在机器中保留很多天，如果是共享计算机，有人可以轻松地蒸制这些cookie

我认为即使是谷歌也没有这样做。我用cookies从google复制了CURL，并在命令行中执行它，我能够得到预期的输出（邮件）。在大多数情况下，这2个被用作身份提供者。因此，我相信，使用这两个作为身份提供者并使用它们提供的记住我选项的应用程序也应该面临类似的威胁

是否有一个身份提供者能够正确地处理它，可能是通过设备指纹或任何其他技术

如果有人能提到这样的IDP以及它是如何处理这个用例的，我将不胜感激。

尝试从不同的IP运行这个curl请求，也许他们实际上使用的是网络指纹。因此，如果有人偷了你的cookie，他们需要获取你的IP地址并从中发出请求，这是很难做到的。另外，浏览器通常会加密所有cookie，所以在你不知道的情况下很难获取它们。对于Facebook，我已经在另一台机器上进行了尝试。在得到cookies后，我可以登录到另一台机器。在注射这些饼干后，我现在在其他机器上使用我的个人资料超过3周。对于谷歌，我将试一试。另外，设想一个场景，当有人登录并出去吃午饭而不关闭计算机时，您从同一台机器中蒸出cookie本身。在这种情况下，偷饼干是很容易的，谷歌也是如此。它起作用了。不限制cookie导入好吧，这就是web的工作方式：）例如，您可以在此处看到可能的设备指纹列表：其中没有一个足够可靠，因为如果您检查用户代理，您的用户可能会更新浏览器，UA将更改。到目前为止，饼干是黄金标准。