|
Как расшифровать Cookie Оперы? | ☑ | ||
---|---|---|---|---|
0
Stim
19.03.13
✎
23:14
|
Зарегистрировался давно на одном сайте, пароль благополучно забыл. Опера цепляет автоматически, а как бы вытащить пароль из Cookie, чтобы зайти и с рабочего компа? Есть способы?
|
|||
1
acsent
19.03.13
✎
23:17
|
пароль из кук нельзя вытащить.
а куки наверняка привяызваются к айпи |
|||
2
Asmody
19.03.13
✎
23:19
|
(0) миста не хранит пароли в куках
|
|||
3
Stim
19.03.13
✎
23:20
|
(2) даже не знаю, что ответить. Хорошо, наверное :)
|
|||
4
Asmody
19.03.13
✎
23:22
|
(3) мы даже на сервере пароли не храним
|
|||
5
Stim
19.03.13
✎
23:25
|
(4) отлично. Осталось только узнать, как опера шифрует Cookie. да и вообще - зачем шифровать их, если они хранятся на компьютере пользователя
|
|||
6
acsent
19.03.13
✎
23:25
|
(5) куки это не зашифрованный пароль, это просто гуид сессии
|
|||
7
acsent
19.03.13
✎
23:26
|
на сервере просто хранится: по это гуиду с этого айпи автоматом подставлять пользователя такогото
|
|||
8
БалбесВ1с
19.03.13
✎
23:27
|
(0)Подсказываю поисковый запрос - Как посмотреть сохраненные пароли в opera.
|
|||
9
Stim
19.03.13
✎
23:27
|
(6)
"Сами по себе cookies не могут делать ничего, это только лишь некоторая текстовая информация. Однако сервер может считывать содержащуюся в cookies информацию и на основании ее анализа совершать те или иные действия. Например, в случае авторизованного доступа к чему либо через WWW в cookies сохраняется login и password в течение сессии, что позволяет пользователю не вводить их снова при запросах каждого документа, защищенного паролем." |
|||
10
acsent
19.03.13
✎
23:29
|
(9) так никто не делает.
|
|||
11
БалбесВ1с
19.03.13
✎
23:33
|
(8)Вторая ссылка в яндексе.Тупо конечно.Я думал опера умнее.
|
|||
12
Jump
20.03.13
✎
00:01
|
(9)Не знаю где ты это взял, но это полнейшая чушь.
Т.е теоретически конечно никто не запретит записать в куки что угодно, тот же пароль, но это нафига это может кому то понадобиться??? |
|||
13
Torquader
20.03.13
✎
00:47
|
(12) В (9) просто написано для дилетантов.
В Cookie сохраняется уникальный идентификатор, по которому можно определить, что действие относится к определённому пользователю. В процессе авторизации при первом входе на сайт пользователь вводит login и подтверждает его паролем. Уникальный идентификатор сессии пользователю уже выдан в момент входа на сайт. При проверке login и пароль (конечно, если они правильные) система находит в своей базе номер пользователя и записывает в отдельную таблицу соответствие номера пользователя и идентификатора сессии. После этого, все действия в сессии, идентифицируемой через "печать", будут сделаны от имени пользователя, который авторизовался. Однако, бывает и автоматическое заполнение форм, когда браузер запоминает текст, который был введён в форму авторизации и в следующий раз просто подставляет его. В этом случае, в браузере хранятся все данные формы в том числе login и пароль - тогда их можно посмотреть в списке сохранённых данных. |
|||
14
Jump
20.03.13
✎
00:58
|
Немного ликбеза в плане авторизации на сайте, и кукисов -
1)Регистрация. Когда ты регистрируешься на сайте, ты вводишь в браузер логин и пароль, и браузер пересылает их серверу. Сервер записывает себе в базу данных твое имя и хэш пароля, сам пароль тут же стирается из памяти. Хэш - это некоторое значение полученное путем математического преобразования пароля, и нет никакой обратной математической функции позволяющей получить из хеша исходное значение, т.е это необратимое преобразование. 2)Авторизация. Ты открываешь в браузере сайт, вводишь в браузер логин и пароль, бразуер пересылает их серверу. Сервер применяет хэш функцию к присланному тобой паролю, т.е получает хэш, ищет в базе данных пользователя с таким именем и таким хэшем пароля. Если такой юзер присутствует в базе данных, то сервер считает что авторизация прошла успешно, и формирует идентификатор сессии - guid. guid это просто случайное или псевдослучайное число. Сервер записывает себе в базу данных - guid, и время действия сессии, это как минимум, обычно еще записывают версию браузера, и твой айпишник. После чего guid записывается в файл и пересылается к тебе на компьютер. 3)Работа авторизированного пользователя. Ты открываешь сайт, браузер ищет кукис соответстующий этому сайту и отсылает на сервер с каждым твоим запросом, т.е при любой отправке информации на сайт, к этой информации обязательно прикрепляется твой кукис. Сервер читает из кукиса guid и находит его в базе данных и продолжает работать с тобой как с авторизированным пользователем, т.е высылает тебе запрашиваемую информацию, показывает нужную страничку. Если сервер обнаруживает что время действия кукиса истекло, то тебя тут же перестают считать авторизированным пользователем и выбрасывают на страницу авторизации. Итак - попытаться достать из кукиса какую-то полезную информацию нет смысла, там не хранится никакой осмысленной информации. А вот браузер если запоминает пароль, то хранит его у себя в базе данных, в отличие от сервера. Именно пароль, а не его хэш, пусть и в зашифрованном виде. И как правило не составляет особой сложности обойти защиту и расшифровать пароль хранящийся в браузере. Так что кукисы тут совершенно не причем - нужен пароль, значит ломай собственный браузер. |
|||
15
Jump
20.03.13
✎
00:59
|
(13)опередил.
|
|||
16
Asmody
20.03.13
✎
01:02
|
а вообще, в опере есть драгонфлай в средствах разработчика, там можно куки посмотреть. ну или тупо набрать document.cookie в консоли
|
|||
17
Torquader
20.03.13
✎
01:27
|
(15) Кстати, не всегда на сервере хранится hash от пароля - иногда хранится и сам пароль - хранение пароля позволяет использовать безопасную авторизацию, когда на клиента передаётся функция со случайными параметрами - на клиенте на основании этих параметров и введённого пользователем пароля вычисляется данная функция - значение передаётся на сервер, на сервере точно также вычисляется значение функции только используя сохранённый пароль - если результат совпадает с тем, что прислал клиент, то пользователь считается успешно авторизованным.
|
|||
18
BOZKURT
20.03.13
✎
01:48
|
(2) вот это мзданул...))
а что мешает?... (не обязательно в куках) |
|||
19
Jump
20.03.13
✎
01:49
|
(17)Конечно никто не запрещает хранить пароль. Администратор сайта волен поступать как ему вздумается.
Но на нормальных, адекватных сайтах всегда хранится только хэш, и никогда не хранится пароль. Банально - ломанули сайт, и вуаля - все пароли пользователей у злоумышленников. А если хранится хэш - то у злоумышленников будут только хэши, а с хэшем не авторизируешься. Поэтому ни один нормальный админ не станет хранить пароли на сервере. А для безопасной авторизации используется https во всем мире. Т.е используется ассимметричное шифрование, и сначала идет обмен открытыми ключами, после чего поднимается шифрованное соединение, и уже по этому соединению передается пароль. |
|||
20
BOZKURT
20.03.13
✎
01:50
|
(19)+1
|
|||
21
Kavar
20.03.13
✎
04:10
|
(8) Причем тут сохраненные пароли?
|
|||
22
Jump
22.03.13
✎
23:07
|
(21)При том, что в случае описанном в (0) могут помочь только они.
Иначе никак. Ну совсем никак. |
|||
23
Asmody
22.03.13
✎
23:46
|
(18) а зачем нам ваши пароли? у нас соленые хеши.
|
|||
25
Sammo
модератор
23.03.13
✎
16:04
|
(24) Правило 4
|
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |