"Опасные" куки.
 

Что собственно этот такое?
Я тупой или что? Как они могут быть опасными?
Настройки? Даже псевдонастройки...

Везде от них все защищаются.. что за **?
Где о этом можно прочитать? Гугл выдал только какие файрволы и в каких настройках от них защищают..

Тебе могут подсунуть чужие куки? И что в этом опасного? Вход под другим пользователем?

Они же не забирают у тебя куки, а наоборот устанавливают... Что они могут такое установить? Тем более на свой сайт! Или можно как-то на чужой сайт установить.. Но все равно не вижу смысла это делать кроме как сбить сессию...

В общем не вьеду, пожалуйста подтолкните.

(Что такое куки, до этого я думал, что знаю...
Опасные как-то связаны с XSS? - тут вот не разбираюсь.. точне дальше определения и простеших примеров <alarm>)

так какие все-таки куки? опасные или описанные?

с помощью хсс можно украсть куки и зайти на сайт под жертвой.

Nfm
Читать он умеет =)
И в правду касперский удоляет некоторые куки с компа.
Коментарий: эти куки могут навредить вашему компьютеру или украсть личные данные

(давно я кстати такого сообщения не видел)

Только это накопал. Ну у меня почему то сразу об этом мысли появились. Но самое интересное, что куки в правах ограничены и по идее своей не могут быть исполняемыми файлами. Они являются только носителями информации, не более.

А если на оборот, есть способ поднять свои права и сделать их исполняемыми или получить доступ используя их. Интересно посмотреть сплоит

ссылка: http://securityvulns.ru/news1698.html

P/s Интереный ты вопрос задвинул, даже я в раздумия пал )).Если что то накопаешь , выложи плиииз, очень интересно.

Спс за ответы :rolleyes:

Кое-что нашел, но это, похоже со слов других админов, не будет работать.

Только мне не понятно в БД жертвы??? (пользователя? админа, кот сидит на сервере? сервера?).. не важно..
Суть в том что это хотя и не заработает, но при других бы условиях могло...

Хм.. Точно! Если пользователю подсунуть "свои" куки волшебным образом сформированые, сдержащие php/sql inj/xss <-- что именно, вам лучше знать - какой там тег закрыть.. и дальше нужный код..

Но потом что с ним делать? Ну получит пользователь "дополнительный" ответ с базы / дополнительный код (xss) и что? Потом это все на XSS снифер? (если мы подсунули админу, а мы всего лишь пользователи) Но тогда мне интересно что же нужно для того чтобы установить пользователю "спец" куки? ХSS на сайте?
XSS чтобы сделать SQL inj и передать еще через один XSS на снифер?

Т.е. я в этом не шарю и хотел сказать "нам нужен админ чтобы получить права админа?".

Все остальное сто нашел - так это просто скрытие следов пребывания на сайтах. И еще "adware устанавливает куки чтобы следить" - как зачем и где не понятно, но в описании каждого (почти) антивируса и файера есть подобная строчка.

Я не компетентен в этом вопросе, надеюсь, кто-то обьснит.

О, может завтра преподов загрузить? Ха, они зависнут.

Хорошо опечатался когда писал =)

гугл любит всякую хрень устанавливать- чтоб потом за юзерами следить

LynXzp

Это способ атаки сайта а не браузера.
(не твой случай)

Дай ссылку где тебе пишет что есть опасные куки (хочу изучить)

Так в том то и дело я то и хочу узнать чем они опасные. Все их только удаляют.
Ссылки на программы которые их удаляют? outpost zonealarm kaspersky - эти точно, но на их сайтах ничего нет вразумительного отнсительно зачем они их удаляют.

Кроме "celar adware cookies" и нескольких нареканий пользователей о ложных срабатываниях.