Pada tahun 2012-2013, saya mencoba menyalin folder AppData Google Chrome dari satu PC ke PC lain dengan tujuan untuk migrasi data tab dan history ke PC baru. Waktu itu, Chrome belum memiliki fitur sinkronisasi seperti sekarang, hanya untuk sync bookmark saja. Pada saat itu, beberapa akun yang sudah login seperti Facebook dan Twitter bisa langsung digunakan tanpa login ulang, yang berarti saya melakukan session hijacking, meskipun di perangkat sendiri.
Kenapa hal tersebut bisa terjadi dulu? Cookie disimpan secara sederhana: session cookie disimpan dalam file atau database di AppData. Enkripsinya juga belum begitu ketat, sehingga session cookie disimpan sebagai teks biasa atau dienkripsi dengan cara yang mudah dibawa ke PC lain.
Perbedaan teknis antara browser era lama dan era baru sangat jelas. Pada era 2010-2013, Chrome mulai menggunakan DPAPI untuk enkripsi, tetapi fokusnya pada data sensitif seperti password. Session cookie sering tidak terenkripsi, dan kuncinya tidak terikat kuat ke hardware PC. Sedangkan sekarang, Chrome dan browser modern lainnya menggunakan master key untuk mengenkripsi semua data sensitif, dan master key tersebut dienkripsi oleh DPAPI atau layanan serupa dan disimpan di file Local State.
Layer backend atau server juga semakin canggih, dengan multi-layer protection dan deteksi yang lebih baik. Server seperti Google dan Facebook memiliki deteksi yang canggih dan mencatat banyak detail perangkat, sehingga ketika token muncul dari perangkat yang berbeda, server akan melakukan invalidate sesi atau meminta verifikasi ulang.
Jadi, trik copy AppData mungkin berhasil di masa lalu, tetapi sekarang kemungkinan besar akan gagal karena enkripsi yang terikat pada perangkat dan deteksi backend yang lebih ketat. Untuk pindah perangkat dengan aman, lebih baik menggunakan fitur resmi seperti Chrome Sync atau exporter profile yang benar, daripada mencoba mengakses akun orang lain dengan menyalin folder AppData yang berisiko secara etis, legal, bahkan hukum.
