Nálad nem tárolódik semmi sem (jobb esetben), te csak egy véletlenszerűen generált azonosítót kapsz bizonyos időközönként. Ezzel ismer fel az oldal és társítja hozzád a profilod adatait. A "maradj belépve" funkció is hasonló elven működik. Ha valaki megszerez egy ilyen azonosítót és felhasználja ellened, akkor beléphet a te profiloddal a jelszó ismerete nélkül is. Ezért kérik be sok helyen a jelszót adatmódosításkor is, és ezért vannak ilyen extra védelmi megoldások mint az IP ellenőrzés. A kérdésre válaszolva: igen, most is ellopható ez az azonosító scriptekkel, de az IP ellenőrzés miatt használhatatlan.
-
Ennek ellenére lehetne egy köztes utat találni, sőt, akár megoldani is ezt a problémát a scriptek maradása mellett. Nem olyan nehéz behozni pár új szabályt és ellenőrzést. Például külső scripteket blokkolni, csak inline kódot lehetne megadni, amiben ellenőrizhető lenne a cookie és más kulcsszavak jelenléte. Az eval és hasonlókra keresve az obfuscated kód sem feltétlen akadály, csak alaposan ki kell gondolni. Pl. szűrni kell arra is hogy az inline kód ne húzhasson be külső kódot.
Ellenben sokkal jobb és logikusabb megoldás lenne a httpOnly biztonságos sütik. Az oldal simán meglenne vele, szinte 0 módosítással járna, és ez lehetővé tenné hogy a sciptek semmilyen módon se férhessenek hozzá egyetlen sütihez sem.
Bónusz: vajon mennyire van védve az SG XSS támadások ellen? Vannak kételyeim. Ha pedig nem eléggé, akkor kb. értelmetlen bizonságról beszélnünk.