Кто знает, как объяснить людям, что хранить имя пользователя и пароль в куках в открытом виде - это плохо? Люди в XSS не верят и говорят:
"Чтобы получить доступ к cookies, нужно получить физический доступ к машине. Уязвимости, связанные с необходимостью физического доступа почти так же «опасно», как автоматчики в масках, дознающие физически пароль"
Почтовый ящик Hotmail вскрывается ворованным "cookie " Интернет-сайт Wired News сообщил о несложном способе взлома бесплатных почтовых ящиков службы Hotmail. Для этого злоумышленнику необходимо похитить с компьютера жертвы два файла cookie, в которых содержится вся идентификационная информация пользователя, включая пароль. Файлы с именами MSPAuth и MSPProf записываются на компьютер сервером MSN.com в том случае, если пользователь Hotmail выбрал при входе в систему опцию "keep me signed in", позволяющий открывать почтовый ящик без предварительного ввода пароля. Файлы с информацией о логине и пароле остаются на диске до тех пор, пока пользователь не выйдет из почтового ящика с помощью кнопки "Sign Out .NET" или не перезагрузит компьютер. В случае простого закрытия окна Hotmail оба cookie остаются на месте. Важно отметить, что для похищения файлов cookie вовсе необязательно иметь физический доступ к компьютеру жертвы. Вместо этого можно использовать специальный дыры в технологии CSS (cross siting scripting) или в Internet Explorer. Задача облегчается еще и тем, что все cookie хранятся в одной папке и в незашифрованном виде.
Впрочем, предотвратить несанкционированный доступ к почтовому ящику Hotmail не так уж сложно. Для этого следует отказаться от опции беспарольного входа и следовать рекомендации Microsoft выходить из почтового ящика при помощи предназначенной для этого кнопки - той самой "Sign Out .NET". Одновременно журналисты Wired News предупреждают об ошибке в реализации функции "session expiration", которая автоматически завершает сеанс пользования почтовым ящиком по истечении заданного времени. Небольшое исследование, проведенное журналистами, показало, что, несмотря на активацию опции автоматического завершения сеанса, возможность похищения cookie и взлома почтового ящика сохранялась и через сутки после последнего обращения к ящику его настоящего пользователя.
з.ы. как один из множества аргументов, правда без технических тонкостей, если они требуются, то поиск по сайту тебе поможет. а самый наглядный аргумент - это продемонстрировать уязвимости подобного класса на их же машинах.
Ну ты блин спросил...... Короче доказать и точка покажи как это делаеться с удаленной машины.......или поспорь на ящик Гиннеса думаю согласяться........как раз к 15 числу:))) Единственный способ....показывать на уязвимости нет смысла....могут не понять А вытащив пароли ты покажешь им чем же это опасно
) 