Cookie 盗号的问题？

路径上讲，就是这么简单。前不久 FBI 就打掉一个出售 cookie 的俄罗斯黑产网站，最主要的就是 FB 的 cookie ，国内也曾经流行盗腾讯 QQ ptlogin 的 cookie ，可以登录邮箱，QQ 空间，那黑灰产后续可做的事情可太多了

建议 cookie 绑 user-agent,稍微安全点. 曾经绑 IP 被骂的半天下线.

能搞到你的 cookie 的话，搞到你常用的登录 ip 地区不难吧，然后找个你 ip 地址附近的代理 ip 也不是太难吧。

只要在别人电脑拿到了 cookie 的 sessionid ，就可以在自己电脑上登录了，但是如果设置了失效时间，就只能登录一段时间

这个问题还是得看对应的网站把安全措施做到了哪一步。

如果登录仅仅只是验证个 cookie ，那确实随便了，事实上大多数网站也都是这样。

但如果 cookie 只是其中一个要素，还要看登录 ip 之类的东西，那就不会这样了。

一般来说支付相关的网站会严格一点，其他的没见过太多。

这个很难避免,
如果恶意软件都能把你的 cookie 上传,
那么你的电脑所有的内容都已经算是公开,
网站是没办法判断当前登录的用户是否是盗号者,
除非每执行一步操作就要进行是否本人的验证.

mac 地址属于数据链路层吧，应用层获取不到吧除非服务商用特殊方法收集。

移动有流量穿透吧，IP 地址满世界跑，不知道现在还有没有，这要验证的话比如 QQ 时不时给你冻结。

关于主题楼上都说的很对。但是他这个盗号最大问题是进行密码修改等敏感操作油管居然没有做任何验证，让人匪夷所思

这...那输入密码的框也能直接盗密码?

鉴权都是只认凭据不认人, 大部分时候 cookie 就是这个凭据, 凭据丢了等于被盗这没问题

那么剩下的问题就是, 要不要把 (cookie, ip, mac) 这样或更多信息组成的 n 元组作为凭据?

大部分小厂估计就只用 cookie 作为凭据, 大厂一般都有风控都很常见, 诸如不常见的登录地就触发验证, 或是其他设备登录触发验证, 这和你说的 ip mac 本质上没什么区别

但是么, 越是严格的安全策略越是不方便, 安全和方便本来就矛盾, 最后只是看你接受付出多大的代价来交换

刚刚看完视频，一个激灵，还是把杀毒软件给安上了，毕竟挺懒的。