Токены сессий MAX хранятся в локальном хранилище браузера
Пользователи обсудили публикацию на «Хабре», посвященную механизму авторизации в веб-версии мессенджера MAX.
Автор материала сообщил, что после входа в систему браузер сохраняет токен активной сессии в локальном хранилище. Получить к нему доступ можно через встроенные инструменты разработчика.
Сохраненный токен позволяет восстановить сессию на другом устройстве или в другом браузере без повторного подтверждения личности через пароль, СМС или QR-код. Отмечается, что подобное поведение является стандартным для многих интернет-сервисов и не считается уязвимостью.
Для копирования токена требуется физический доступ к устройству, где уже выполнена авторизация. После выхода из аккаунта или принудительного завершения сессий токен перестает действовать.
