MAX грозит утечка через вход без пароля и СМС с ключом в браузерной версии

После публикации на Habr пользователя sansmaster внимание привлекла работа веб-версии мессенджера MAX. Он описал, как сервис обрабатывает ключ активной сессии. Согласно наблюдениям, после входа система сохраняет ключ авторизации в браузерном хранилище. Его можно извлечь через инструменты разработчика.

Как работает авторизация

При обновлении страницы пользователь остается в системе без повторного ввода пароля и SMS-кода. Такой механизм широко используется в веб-сервисах. Автор публикации подчеркивает, что речь не идет о взломе или критической уязвимости, а о стандартной логике работы сессий.

Для использования сохраненного ключа нужен доступ к устройству, где выполнен вход. При завершении сессии данные становятся недействительными.

Больше новостей и эксклюзивных видео смотрите в канале Самара Онлайн 24 в MAX.