※ 引述《a00561 (淡季)》之铭言：
更新
被喷之后跑去恶补一下
发现我也搞错了
只要有跳转过
并且没有傻到在新网域继续交出东西
(对，它需要启动点。通常是木马)
session cookie就几乎不会被复制到
我把它套到别的东西上了，非常抱歉
反过来说
如果被复制了
那就是你给了malware太多权限
malware不一定是你现在才下载的玩意
要注意
: 刚好收到这封邮件，
: 最近也刚好有帐号问题被强迫改密码啥的，
: 刚好就差点中标了 ，
: 来跟大家分享一下。
你这个动作并没有“差点”中标
你已经中标了
只是你把脖子伸出去的这个地方
可能还没有刀子砍下来
对，“还没”
因为我们没有看到你的手机
不知道你到底点了啥，被触发了啥
光是点进去这个动作
就可以在outlook系统上触发一堆控件了
就算是封闭系统著名的iOS好了
邮件状态预览到了，iOS可以挡掉一堆控件
但你为什么还要好奇去点开超连结呢
你千不该万不该，还去点开那个连结==
真的是骂你十句87都不为过 头很痛
你知道现在早就在流行session cookie盗帐号了吗
简单快速带过
他是为了让使用者不需每换一个页面
就要重新登入帐密的本地暂存
你可以把它想成
你去其他人家里拜访，门口警卫给你的临时通行证
后面有其他警卫关卡时
你就不用还要再办理一次验证
而现在一堆
“我明明有开二步骤验证啊，怎么还是被盗了”
的事件，
就是因为这张临时通行证被你乱点之下的操作
复制走了
你可以想想看
你在手机上，跟电脑上都登入你的icloud帐号
当你登入后，除了你曾经登出过，
或是你有不只一个帐号同时登入，
你的手机跟电脑曾经问过你任何一次你是不是本人吗?
因为你的电脑里已经有这种便民为出发点的临时通行证了，
他让你可以一直保持在登入的状态
这类大型入口网站，
不可能每个使用者都一一频繁验证
因此虽然不是那么安全，但在便民的出发点之下
也就向便利性妥协了
(题外话，像网银这种状况，就会再把有效期限缩得紧一点，譬如15分钟就自动登出)
那所以，反过来说
你的临时通行证被复制走了
就算今天复制你session cookie的坏人
远在俄罗斯
他只要把这个session丢进他的电脑里
再去连线Google、icloud等网站
他们就会认为是你本人从另一个已登入验证过的装置连回来
就不会再问你任何密码、二阶段验证
因此就算是二十阶段、二百阶段验证
你只要犯了你这次的错误，好奇点开连结
你就是已经成为别人刀俎上的鱼肉了
讲得严重一点
你点开了那个连结
就算你过了几天发现你的icloud帐密被改掉了
我也不意外
板上稍微搜寻一下
就能发现很多讶异自己怎么会被盗的文章了不是吗
目前要完全安心解决
唯一方法
现在立刻去icloud
把你所有登入中的装置一次通通踢掉
然后重新登入
再领一次新的session cookie
很麻烦对吧
所以你知道以后不该好奇乱点超连结了吗?
: 收到的邮件长这样
: https://i.imgur.com/l8TBqBa.jpg
: 打开长这样
: https://i.imgur.com/wpi1MUi.jpg
: 以上跟大家分享。
: