Уязвимость на базе Cookies во всех браузерах позволяет взламывать сервисы Google

Развитие событий: Открытка компании: Gmail несколько часов путал корпоративные и личные аккаунты пользователей? (5 октября 2015)

Сложноватый и длинноватый для написания новости «всё пропало» документ описывает вектор атаки с использованием cookies, которому подвержены все основные браузеры и веб-сервисы, в т. ч. Google.

Суть атаки в том, что атакующая сторона через MITM (или контроль связанных доменов?) может установить «печеньку» по незащищенному протоколу HTTP, а браузеры затем будут использовать её для HTTPS сессий (т.к. браузеры не используют для cookies разделение по транспорту, через который они были установлены).

google-Cookies

Исследователям удалось продемонстрировать два использования уязвимости на сервисах Google: в первом случае жертве в Gmail подставлялся чужой чат, во втором случае похищалась история поисковых запросов.