Имя: Пароль:
IT
Админ
Как расшифровать Cookie Оперы?
,
0 Stim
 
19.03.13
23:14
Зарегистрировался давно на одном сайте, пароль благополучно забыл. Опера цепляет автоматически, а как бы вытащить пароль из Cookie, чтобы зайти и с рабочего компа? Есть способы?
1 acsent
 
19.03.13
23:17
пароль из кук нельзя вытащить.
а куки наверняка привяызваются к айпи
2 Asmody
 
19.03.13
23:19
(0) миста не хранит пароли в куках
3 Stim
 
19.03.13
23:20
(2) даже не знаю, что ответить. Хорошо, наверное :)
4 Asmody
 
19.03.13
23:22
(3) мы даже на сервере пароли не храним
5 Stim
 
19.03.13
23:25
(4) отлично. Осталось только узнать, как опера шифрует Cookie. да и вообще - зачем шифровать их, если они хранятся на компьютере пользователя
6 acsent
 
19.03.13
23:25
(5) куки это не зашифрованный пароль, это просто гуид сессии
7 acsent
 
19.03.13
23:26
на сервере просто хранится: по это гуиду с этого айпи автоматом подставлять пользователя такогото
8 БалбесВ1с
 
19.03.13
23:27
(0)Подсказываю поисковый запрос - Как посмотреть сохраненные пароли в opera.
9 Stim
 
19.03.13
23:27
(6)
"Сами по себе cookies не могут делать ничего, это только лишь некоторая текстовая информация. Однако сервер может считывать содержащуюся в cookies информацию и на основании ее анализа совершать те или иные действия. Например, в случае авторизованного доступа к чему либо через WWW в cookies сохраняется login и password в течение сессии, что позволяет пользователю не вводить их снова при запросах каждого документа, защищенного паролем."
10 acsent
 
19.03.13
23:29
(9) так никто не делает.
11 БалбесВ1с
 
19.03.13
23:33
(8)Вторая ссылка в яндексе.Тупо конечно.Я думал опера умнее.
12 Jump
 
20.03.13
00:01
(9)Не знаю где ты это взял, но это полнейшая чушь.
Т.е теоретически конечно никто не запретит записать в куки что угодно, тот же пароль, но это нафига это может кому то понадобиться???
13 Torquader
 
20.03.13
00:47
(12) В (9) просто написано для дилетантов.
В Cookie сохраняется уникальный идентификатор, по которому можно определить, что действие относится к определённому пользователю.
В процессе авторизации при первом входе на сайт пользователь вводит login и подтверждает его паролем.
Уникальный идентификатор сессии пользователю уже выдан в момент входа на сайт.
При проверке login и пароль (конечно, если они правильные) система находит в своей базе номер пользователя и записывает в отдельную таблицу соответствие номера пользователя и идентификатора сессии.
После этого, все действия в сессии, идентифицируемой через "печать", будут сделаны от имени пользователя, который авторизовался.

Однако, бывает и автоматическое заполнение форм, когда браузер запоминает текст, который был введён в форму авторизации и в следующий раз просто подставляет его.
В этом случае, в браузере хранятся все данные формы в том числе login и пароль - тогда их можно посмотреть в списке сохранённых данных.
14 Jump
 
20.03.13
00:58
Немного ликбеза в плане авторизации на сайте, и кукисов -

1)Регистрация.
Когда ты регистрируешься на сайте, ты вводишь в браузер логин и пароль, и браузер пересылает их серверу.
Сервер записывает себе в базу данных твое имя и хэш пароля, сам пароль тут же стирается из памяти.
Хэш - это некоторое значение полученное путем математического преобразования пароля, и нет никакой обратной математической функции позволяющей получить из хеша  исходное значение, т.е
это необратимое преобразование.

2)Авторизация.
Ты открываешь в браузере сайт, вводишь в браузер логин и пароль, бразуер пересылает их серверу.
Сервер применяет хэш функцию к присланному тобой паролю, т.е получает хэш, ищет в базе данных пользователя с таким именем и таким хэшем пароля.
Если такой юзер присутствует в базе данных, то сервер считает что авторизация прошла успешно, и формирует идентификатор сессии - guid.
guid это просто случайное или псевдослучайное число.
Сервер записывает себе в базу данных - guid,  и время действия сессии, это как минимум, обычно еще записывают версию браузера, и твой айпишник.
После чего guid записывается в файл и пересылается к тебе на компьютер.

3)Работа авторизированного пользователя.
Ты открываешь сайт, браузер ищет кукис соответстующий этому сайту и отсылает на сервер с каждым твоим запросом, т.е при любой отправке информации на сайт, к этой информации обязательно
прикрепляется твой кукис.
Сервер читает из кукиса  guid и находит его в базе данных и продолжает работать с тобой как с авторизированным пользователем, т.е высылает тебе запрашиваемую информацию, показывает нужную страничку.
Если сервер обнаруживает что время действия кукиса истекло, то тебя тут же перестают считать авторизированным пользователем и выбрасывают на страницу авторизации.

Итак - попытаться достать из кукиса какую-то полезную информацию нет смысла, там не хранится никакой осмысленной информации.
А вот браузер если запоминает пароль, то хранит его у себя в базе данных, в отличие от сервера. Именно пароль, а не его хэш, пусть и в зашифрованном виде.
И как правило не составляет особой сложности обойти защиту и расшифровать пароль хранящийся в браузере.
Так что кукисы тут совершенно не причем - нужен пароль, значит ломай собственный браузер.
15 Jump
 
20.03.13
00:59
(13)опередил.
16 Asmody
 
20.03.13
01:02
а вообще, в опере есть драгонфлай в средствах разработчика, там можно куки посмотреть. ну или тупо набрать document.cookie в консоли
17 Torquader
 
20.03.13
01:27
(15) Кстати, не всегда на сервере хранится hash от пароля - иногда хранится и сам пароль - хранение пароля позволяет использовать безопасную авторизацию, когда на клиента передаётся функция со случайными параметрами - на клиенте на основании этих параметров и введённого пользователем пароля вычисляется данная функция - значение передаётся на сервер, на сервере точно также вычисляется значение функции только используя сохранённый пароль - если результат совпадает с тем, что прислал клиент, то пользователь считается успешно авторизованным.
18 BOZKURT
 
20.03.13
01:48
(2) вот это мзданул...))
а что мешает?... (не обязательно в куках)
19 Jump
 
20.03.13
01:49
(17)Конечно никто не запрещает хранить пароль. Администратор сайта волен поступать как ему вздумается.
Но на нормальных, адекватных сайтах всегда хранится только хэш, и никогда не хранится пароль.
Банально - ломанули сайт, и вуаля - все пароли пользователей у злоумышленников.
А если хранится хэш - то у злоумышленников будут только хэши, а с хэшем не авторизируешься.
Поэтому ни один нормальный админ не станет хранить пароли на сервере.
А для безопасной авторизации используется https во всем мире.
Т.е используется ассимметричное шифрование, и сначала идет обмен открытыми ключами, после чего поднимается шифрованное соединение, и уже по этому соединению  передается пароль.
20 BOZKURT
 
20.03.13
01:50
(19)+1
21 Kavar
 
20.03.13
04:10
(8) Причем тут сохраненные пароли?
22 Jump
 
22.03.13
23:07
(21)При том, что в случае описанном в (0) могут помочь только они.
Иначе никак.
Ну совсем никак.
23 Asmody
 
22.03.13
23:46
(18) а зачем нам ваши пароли? у нас соленые хеши.
25 Sammo
 
модератор
23.03.13
16:04
(24) Правило 4
Оптимист верит, что мы живем в лучшем из миров. Пессимист боится, что так оно и есть.