MAX грозит утечка через вход без пароля и СМС с ключом в браузере
Вокруг российского мессенджера MAX началось новое обсуждение безопасности после публикации пользователя Habr под именем sansmaster. Он обратил внимание на то, как веб-версия сервиса работает с ключом активного сеанса.
По словам автора, после входа в учетную запись через веб-версию MAX браузер сохраняет ключ сеанса в локальном хранилище. Этот ключ можно получить через консоль разработчика, а затем использовать на другом устройстве или в другом браузере.
После обновления страницы сервис открывается под прежней учетной записью. При этом повторный ввод пароля, кода из сообщения или сканирование кода быстрого отклика не требуется.
Рекомендуем также:
- Счетчик поменяли, а штраф пришел следом: какая ошибка в ЖКХ может стоить россиянам до 30 тысяч рублей
- Государство готово платить больше, но знают об этом не все: какие льготы доступны пенсионерам с доходом до 25 тысяч рублей
Автор публикации отдельно отметил, что описанная особенность не является взломом или классической уязвимостью. Речь идет о штатном механизме браузера, который применяется во многих веб-сервисах.
Несмотря на это, тема вызвала активное обсуждение. Часть пользователей удивилась тому, что доступ к ключу сеанса можно получить через инструменты разработчика.
Для переноса активного сеанса постороннему человеку понадобится физический доступ к устройству или браузеру пользователя, где уже выполнен вход в MAX. Если владелец учетной записи выйдет из нее или завершит сеанс через настройки, ключ станет недействительным на всех устройствах.
Рекомендуем также:
- Бывший полицейский раскрыл главные хитрости водителей: пять способов избежать штрафов ГИБДД
- Банки пустеют раньше срока: этот сладкий рассол гости выпивают раньше, чем съедают помидоры
- Этот трюк с пакетом знают не все: огурцы получаются настолько вкусными, что салаты больше не нужны
автора.
