MAX возможна утечка через вход без пароля и СМС с ключом в браузере

Вокруг мессенджера MAX активно обсуждается вопрос безопасности после публикации на Habr пользователя под ником sansmaster. Он обратил внимание на механизм работы веб-версии сервиса и хранение ключа активного сеанса в браузере.

По его словам, после входа в учетную запись через веб-интерфейс браузер сохраняет ключ сессии в локальном хранилище. Этот ключ можно просмотреть через инструменты разработчика и использовать повторно на другом устройстве.

Почему возникла дискуссия

После обновления страницы вход в аккаунт сохраняется без повторного ввода пароля и SMS-кода. Это вызвало вопросы у части пользователей, которые считают такой механизм потенциально рискованным. При этом автор публикации подчеркивает, что речь не идет о взломе или уязвимости в классическом смысле. Это стандартный подход веб-сервисов к работе с активными сессиями.

Ограничения и защита

Для использования сохраненного ключа требуется доступ к устройству или браузеру, где уже выполнен вход. При выходе из аккаунта или завершении сессии ключ становится недействительным.

Больше новостей и эксклюзивных видео смотрите в канале Самара Онлайн 24 в MAX.