Жителей РФ предупредили об уязвимости MAX: чем грозит утечка токена
Пользователь ресурса Habr под именем sansmaster изучил работу веб-версии системы MAX и обратил внимание на механизм хранения токена активной пользовательской сессии в браузере.
По данным автора разбора, после входа в веб-версию сервиса браузер сохраняет специальную строку, которая позволяет системе распознавать уже авторизованного пользователя. Такой токен выступает идентификатором текущей сессии.
Как отмечается в публикации, при наличии этого токена сессию можно перенести в другой браузер или на другое устройство без повторного прохождения авторизации. Для входа в таком случае не требуется заново вводить код или подтверждать доступ другим способом.
При этом действие токена не является бессрочным. Если пользователь завершает сессию через предусмотренные в системе инструменты управления учетной записью, сохраненный токен перестает работать.
Автор анализа указал, что речь идет именно о механизме сохранения и переноса активной сессии. Он также подчеркнул, что после корректного выхода из аккаунта такой способ доступа становится недействительным.
Рекомендуем также:
- Судьба приготовила для них особый сюрприз: кому по китайскому гороскопу улыбнётся удача до конца июня
- Пятки станут мягкими как после дорогой процедуры: семь простых лайфхаков работают прямо дома
- Соседи будут останавливаться у вашего забора: этот многолетник превращает клумбу в море сиреневых цветов с ванильным запахом
- Вас зря называют ленивыми: эти три привычки могут выдавать высокий интеллект
- Лавровый лист поджигают перед сном не просто так: хозяйки уверяют, что одна домашняя неприятность исчезает сама
Последние новости Перми уже в твоем телефоне - подписывайся на телеграм-канал «Пермь Новости»
