Cookie 盗号的问题？

mac 地址验证这个实在是做不到，非常用 IP 倒是有很多家做保护。

第一浏览器没法获取 mac 地址，ip 地址很多家会做登录时的地区风控，但是一般不会有人做强制失效，除非有特殊需求，试想一个场景，你做高铁跨省市，ip 地址一换，你的 app 全被踢下线重新登陆是一种什么样的体验

收集 mac 地址又该被喷违规收集信息了。
ip 地址验证一般只在登录时候做，不然难道你带电脑换个电脑就要重新登录?

举个栗子，你有没有用过梯子
梯子有没有多节点
你在一个节点登录成功，电脑里存了 cookie ，再换个节点，需要你重新登录了吗

银行会验证 IP ，比如招行。
以前招行我连公司网络用不了，因为公司网络 NAT 出口每次都不一样不稳定，后来招行把这个限制干掉了。

我知道的移动、联通、广电、铁通、等经常会变 ip

不敢装 QQ 和微信，之前听说过盗 cookie

使用 cookie 的前提是你电脑是安全的，像这种已经算电脑被入侵了，电脑上所有软件都不安全了

cookie 就是你得身份证，所以谨慎使用别人提供得翻墙服务，特别是前端代理（一个第三方网站兼容所有墙外网站）翻墙服务

edge 可以把你 chrome 登录状态拿过来，其他的第三方一样可以

是的，几乎都是有 cookie ，UA 基本对应上，就可以登录。那些卖黑 facebook 账号的都是提供 cookie 加 UA 。

验不验证完全看网站如何选择，有些网站如果遇到 ip 变化就会要求重新登陆，但大部分都不做验证。

如果做的严谨一点. 可以加浏览器指纹来做. 但一般很少这样做

都安装恶意软件了, 还在担心 cookies ?

验证 ip 基本上登录的时候会做，而且就算是登陆时候验证，更常见的是验证登录地区，ip 限制不那么严格。

电玩科技 AK 账号拿回来的过程恰恰也利用了这一点，他自己找了个和盗号者登陆他账号同 state 的梯子线路去找回了账号，不然的话他也面临更严格的风控。

为啥总有人想到 mac 地址呢？网络分层模型没去过？

mac 是获取不到的，数据包里的 mac 是上一个路由器的 mac ，不是客户端的，op 补一下计网知识。其次限制 ip 有很多私人站点是有的，比如 pt 站，因为搞 pt 的人一般都会有个不变的公网 ip 。最后你说复制 cookie ，Chrome 的 cookie store 是加密的(当前登录用户)，所以在不给权限的情况下是拿不到 cookie ，除非你给了权限，那有了权限就可以为所欲为，偷 cookie 算是比较轻的一种了

被盗过 cookie
Google 直接跳账户被盗，全部登录状态都掉了，具体被操作了什么 /发生了什么不清楚，官方说帮我回滚了被盗前的状态，强制我修改了密码
Twitter 账户官方标注“禁止逃脱永久冻结”，申述 6 个月后回来了，盗号者发了 20+条币圈推并艾特了一堆人
Instagram 账户永封，尚未申述成功

类似 CSRF ，窃取用户 token 进行请求伪造。另 http 请求头又个 referer 可以识别是从哪里发起的请求，但是鸡肋的是这个请求头能通过手段修改或者直接不传，这样后端就拿它没办法了。一般这种都是页面埋 csrf_token 来着，基本理念就是加大请求伪造的难度，避免请求伪造。

莫名其妙的发现有别人的账号