Hur tänker ni kring riskerna om Cookie theft och session hijacking

Viss kontrast på frågan och poll. Jag är alltid inloggad (på datorn hemma), förutom då förstås på typ banken där man verkligen inte bör, och oftast inte heller kan.

Har dock också börjat fundera på detta som ett stort potentiellt problem just eftersom man kommer runt 2FA och hela alltihopa, men jag har inte gjort något särskilt för att skydda mig ännu.

Det här blev ju svårt, i regel loggar jag ut men vissa tjänster/appar måste man nästan vara inloggad hela tiden för att istället slippa ständigt logga in/ut.

Har ju kod/face id som en liten säkerhet i alla fall.

LTT råkade väl ut för precis det, eller hur? När hela deras Youtube-kanal blev kapad.

Om ett webläsartillägg kan stjäla cookies och hitta på dumheter när jag inte använder en viss sida, så kan den göra det när jag faktiskt använder den också. Alltså så tjänar man inte mycket på att logga ut av den anledningen, eftersom det elaka tillägget redan haft chans att göra skada då.

Viktigare är väl att vara noggrann med vilka webläsartillägg man installerar.

För väldigt många lite känsligare tjänster (banker, etc.) så blir man ju ändå automatiskt utloggad efter en viss tid av inaktivitet.

Vad gäller risken med t.ex. illvilliga webbläsartillägg så blir det väl mer att man inte ska logga in öht, inte att man ska logga ut.

Min personliga slutsats är mer att vara återhållsam med vilka prylar man installerar, både vad gäller tillägg och annan mjukvara.

Det som inte finns, specifikt, är möjligheten för användaren att själv *ändra* vilka sidor som ett tillägg ska få tillgång till.
Tilläggen är ju även i Firefox begränsade till det skaparen valt att be om rättigheter till, och om det ändras så poppar det väl upp en grej om att tilläggets rättigheter ändras.

Det som är mest chockerande är hur många som verkar ha installerat tillägget, imo.
Det ger lite dussintals-toolbars-i-IE-vibbar hur situationen uppstått, folk installerar typ vad som helst som någon säger åt dem att installera:

https://i.ibb.co/mDRsRVK/ie-toolbars.png

Ja, ett riktigt dåligt tillägg, men samtidigt är hela situationen bisarr.

Ja, rimligen trodde väl folk som installerade tillägget det iaf.

Vad gäller Youtubarna som var med i reklamkampanjen så kanske man snarare får justera förväntningarna till en blandning av "jag tror det är bra" och "jag bryr mig inte så länge jag får betalt".

Men utan att behöva veta exakt vad tillägget gör så bör det ringa lite varningsklockor när:

Någon kör en omfattande reklamkampanj om sin gratislösning där denna någon uppenbart allra minst förväntar sig att tjäna igen reklampengarna genom att altruistiskt, som tredje-part, få injicera sig i användarens betalningsprocess på typ varenda shoppingsajt för att automatiskt hjälpa till att trixa med rabattkoder så att användaren får det bästa priset någonsin.

Sedan då chocken att det var ett extremt girigt upplägg istället, som trixar med rabattkoder och attribuering till bolagets egen fördel.
Och det är ju då ändå bara dåligt inom ramarna för att mer eller mindre göra vad de faktiskt sagt att de skulle göra men på ett sätt som inte är så hjälpsamt som de fått det att låta. (Dvs, ingen trojan där de i själva verket snor allas kreditkortsnummer eller sessionskakor eller vad det nu må vara)

Jag hoppas iaf att om de faktiskt gjort något olagligt (vilseledande marknadsföring kanske? kanske något mer?) att det straffas, men framförallt att folk avinstallerar skräpet (och/eller att de åker ut från tilläggs-"butikerna" om det finns grund för det).

Ja, verkligen... Jag blir ju dock lite rädd att det är lite samma lika fortfarande, fast med tillägg istället.

Jag för blir inloggad på majoriteten av tjänster men jag kör gamla beprövade som ublock origin och cookies autodelete. Mina vanligaste sajter är vitlistade, allt annat i kakväg autoraderas så snart kag lämnar sidan

Håller ju på att ta certifikat inom pentest och vi lär oss olika tekniker och det är rätt skrämmande lätt hur vissa sårbarheter kan exploateras, o h .ånga attacker är relativt svåra att skydda sig mot. Just kakstölder och sessionskapning är ju rätt vanliga ingångar. Bra att du skapade denna tråd för att öka medvetenheten om dessa metoder, det är allt för många där ute som lever i total omedvetenhet och behovet av att öppna folks ögon är stort, nästan lite läskigt att det fortfarande 2025 är en stor del människor som tar allt för lätt på säkerheten, men jag har viss förståelse eftersom det är ett såpass stort och svårt ämne, men ändå tycker jag vi alla har ett ansvar att åtminstone hålla koll på lite grundläggande kunskaper.

Jag har gjort vissa laborationer med att sno kakor ock kapa sessioner och det är som sagt en relativt lätt sak att göra.

Jag använder firefox multi account containers dit jag styr sajter i egna containers och där jag vill vara inloggad och ofta besöker, som youtube, bluesky social, sweclockers osv. Allt annat öppnas i tabcontainers, dvs tillfälliga containers som raderas när fliken stängs. Har även cookie autodelete där jag valt vilka sajter som får spara kakorna, och inställningen i firefox att alla cookies från sajter jag inte lagt som undantag från att radera cookies raderas när flikar stängs. Men om jag förstår cookie theft rätt så hjälper det lite men inte fullständigt.

Så det enda sättet att fullständigt skydda sig är att inte logga in någonstans typ
Eller att man kör alla inloggningar i varsit privat fönster i ny webläsarinstans eller annan webläsare utan några extensions antar jag..
Men tack för informationen. Nu måste jag ställa mig frågan om hur bekvämt jag vill ha det. Youtube och bluesky är väl inga problem då jag aldrig använder mitt namn på nätet och de påverkar inte andra människor även om de skulle bli kapade så de är mest skräpkonton som jag kan ha och mista, men kom och tänka på att ibland så fortsätter jag att vara inloggad på min email hos runbox och min jobb-mail (microsoft online), vilket jag omedelbums ska sluta med och använda en annan webläsare utan extensions. Då torde man väl kunna vara inloggad hela tiden?

Lättaste lösningen är att inte ha femtioelva extensions som många har. Oavsett om man använder Safari eller Chrome eller Firefox så behöver gemene man inte så många extensions. För de flesta räcker det med en adblocker.

Ja, om man har malware i "hela datorn" så att säga, då hjälper inte mycket. Jag drog i alla fall ner edge som har funktionen att man kan göra app av en websida och gjorde app till amazon, avanza, banken. Kommer att göra fler appar andra viktiga sajter med tiden känner jag. Kommer bara att använda edge till detta.

Precis , alltså det är nästan skrämmande hur lite koll folk har på säkerheten om dom inte råkar vara intresserade av säkerhet eller lite mer avancerad användning av datorer och andra enheter.

Det är som du säger, folk har knappt lärt sig att skapa ett lösenord som inte går att gissa/brute-forcina pga att det är vanligt använt, är baserat på saker som om dem som är lätta att ta reda på os och även om folk matas med massa olika råd om säkerheten på grundläggande nivå då är det tokig nog många som inte ens bryr sig, det är skrämmande, " Äsch, jag bryr mig inte", lixom stoppar huvudet i sanden., typ Det är ju HTTPS då få är det en säker sida" men dom har inte den blekaste om alla möjliga attacker som dom kan utsättas för. Och sedan har jag hört många säga typ ,"men jag är ju bara inne på youtube osv på min dator, så ingen är intresserad av att hacka mig" vad dom ofta inte tänker på är att deras dator hemma kan vara öppet mål för att komma åt deras jobba nätverk osv.

Ett roligt test som gjordes o filmades var att ett kamera team och någon cool snubbe utgav sig för att vara från nått bolag och skulle göra ett reportage om säkerhet och lösenord, efter ett tag säger reportern typ "har du koll på att man skall ha ett säkert lösenord, har du ett säkert lösenord? Vad är ditt lösenord då?" Förvånansvärt många av de tillfrågade på stan rabblade sitt lösenord utan att tveka och berättade även att dom använder samma lösen till allt., totalt galet naivt , många glömmer att det inte bara är datorer som hackas och har ingen aning om hur social engineering fungerar eller ens att det finns.

Jag tror det blir svårt att ändra på dessa beteenden, det är lixom invanda mönster som är svåra att bryta, även om vi bombar dem med information så kommer dom ändå vara lata, bekväma och trygga med att göra som dom alltid gjort och även om dom faktiskt vet att det är helt puckat att ha samma lösen till precis allt så är det för jobbigt att behöva lära sig massa lösenord eller massa programvara som skall hantera det åt dem osv, om man inte är en av dem som var med när internet nåddes via 3.6 modem och dessutom fastnade i den världen som oss nördar:D