Pada masa itu, sekitaran tahun 2012–2013, saya iseng menyalin folder
AppDataGoogle Chrome dari satu PC ke PC lain.
Tujuannya karna saya ingin migrasi data-data tab dan history ke PC baru. Kalian tahu sendiri, waktu itu Chrome belum memiliki fitur sinkronisasi seperti era sekarang. Meskipun sudah ada, seingat saya hanya untuk sync bookmark saja.
Nah, yang aneh adalah beberapa akun yang sudah login (seperti Facebook, Twitter) bisa langsung dipakai tanpa login ulang. Intinya pada waktu itu, saya telah melakukan session hijacking, meskipun di perangkat sendiri. 😂
Sekarang kalau kalian coba hal yang sama, besar kemungkinan akan gagal total.
Kenapa dulu bisa?
- Cookie waktu itu disimpan sederhana: session cookie (token yang menunjukkan kalian sudah login) disimpan dalam file/database di
AppData. - Enkripsinya belum ketat: pada masa itu banyak session cookie disimpan sebagai teks biasa atau dienkripsi dengan cara yang mudah dibawa ke PC lain.
Perbedaan teknis browser era lama VS era baru
Secara teknis perbedaan security layer baik dari sisi Chrome atau browser-browser modern sekarang sudah jauh berbeda dibanding zaman dahulu.
Dulu (era 2010–2013):
- Chrome sudah mulai pakai DPAPI (fitur Windows untuk enkripsi), tapi fokusnya pada data paling sensitif seperti password yang disimpan (
Login Data). - Session cookie (file
Cookies) sering tidak terenkripsi, dan walaupun terenkripsi, kuncinya tidak terikat kuat ke hardware PC. - Akibatnya: saat kalian salin
AppData, kunci yang diperlukan juga ikut pindah, walhasil login pun ikut terbawa.
Sekarang (2025):
- Chrome hingga browser seperti Firefox sudah menggunakan master key: semua data sensitif (password, token, cookie penting) dienkripsi dengan kunci khusus.
- Master key itu sendiri dienkripsi oleh DPAPI (atau layanan serupa di macOS) dan disimpan di file
Local State.
- Kunci ini terikat ke akun pengguna OS dan/atau hardware, jadi ketika kita menyalin file saja dari PC A ke PC B, maka PC B tidak akan bisa membuka kunci file tadi.
Layer Backend / Server semakin Ciamik
Bahkan kalau kalian berhasil nge-decrypt cookie dan impor ke PC lain, server seperti Google, Facebook saat ini sudah memiliki multi-layer protection dan punya deteksi canggih:
- Mereka telah mencatat banyak detail perangkat (seperti IP, browser, OS, resolusi, bahkan font, dll), jadi setiap kalian login di sebuah perangkat akan ada unique key tertentu di server mereka.
- Kemudian, jika token tiba-tiba muncul dari sidik jari berbeda (misal PC lain), server biasanya akan melakukan invalidate sesi atau minta verifikasi ulang (biasanya melalui 2FA). Maka dari itu aktifkan 2FA jika sebuah situs memiliki fitur ini. Ini Penting!
Intinya
Trik copy
AppDatamungkin pernah works di masa lalu, tapi sekarang kemungkinan besar gagal karena enkripsi yang terikat pada perangkat + deteksi backend di server yang lebih ketat.
Kalau tujuan kalian pindah perangkat dengan aman, saat ini kalian bisa menggunakan fitur resmi (Chrome Sync, exporter profile yang benar), jangan utak-atik copy folder AppData untuk akses akun orang lain, karena itu berisiko terkait etis dan legal bahkan hukum. Hehehe.
Tinggalkan Balasan