| Autore |
 Discussione  |
|
|
xman
Average Member
77 Messaggi |
 Inserito il - 19/02/2006 : 16:07:44
|
Salve a tutto il forum,
vorrei sapere se dai cookies memorizzati nell'apposita cartella si può risalire ad username e password... ad es un hacker che si intrufola nel mio pc potrebbe farlo?
Grazie
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 20/02/2006 : 08:38:54
|
Dipende da quali username e password intendi e dal contenuto dei cookie stessi.
Se intendi username e password con cui accedi al tuo pc non credo proprio.
Per username e password dei vari siti potrebbe anche essere, in particolare se i server che generano i cookie inseriscono in chiaro username e password (cosa che, se succede, denota un'assoluta mancanza delle basilari nozioni di sicurezza).
Comunque i cookie sono file di testo che puoi tranquillamente leggere anche con notepad, quindi basta che controlli il loro contenuto (e se usi firefox, basta che vai su Strumenti -> Opzioni -> Privacy -> Cookie -> mostra i cookie per vedere quali cookie sono memorizzati e le informazioni contenute) |
 |
|
|
xman
Average Member
77 Messaggi |
Inserito il - 20/02/2006 : 18:39:03
|
| Ori io intendevo username e password degli account di posta elettronica dei siti web... cmq uso IE non firefox. |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 21/02/2006 : 08:51:49
|
Allora prova a guardare in C:\Document and Settings\tuo username\Cookies e vedi i cookie salvati di IE. Sono file .txt che puoi aprire sia con notepad che con wordpad (meglio wordpad, comunque, dato che gestisce meglio l'andare a capo).
Cosi` vedi cosa c'e` contenuto. |
|
|
|
xman
Average Member
77 Messaggi |
 Inserito il - 22/02/2006 : 17:46:49
|
Citazione:
Messaggio inserito da ori
Allora prova a guardare in C:\Document and Settings\tuo username\Cookies e vedi i cookie salvati di IE. Sono file .txt che puoi aprire sia con notepad che con wordpad (meglio wordpad, comunque, dato che gestisce meglio l'andare a capo).
Cosi` vedi cosa c'e` contenuto.
Andando a vedere nei files txt della cartella cookies ci sono solo numeri, lettere e simboli indecifrabili che non corrispondono ne al mio username ne alla password... com'è possibile risalire? |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 23/02/2006 : 08:46:20
|
| Per risalire al username e password sarebbe da sapere come sono stati cifrati dal server (md5, rsa, des, aes, ...) e poi invertire la codifica. Oppure sapere se i valori sono generati a caso ad ogni sessione e associati all'interno del server con username e password (come fa phpbb, se non mi ricordo male). In questo caso non si riesce a risalire ad username e password dal contenuto del cookie, ma bisogna poter accedere al database del server. |
|
|
|
xman
Average Member
77 Messaggi |
Inserito il - 24/02/2006 : 17:28:41
|
Citazione:
Messaggio inserito da ori
Per risalire al username e password sarebbe da sapere come sono stati cifrati dal server (md5, rsa, des, aes, ...) e poi invertire la codifica. Oppure sapere se i valori sono generati a caso ad ogni sessione e associati all'interno del server con username e password (come fa phpbb, se non mi ricordo male). In questo caso non si riesce a risalire ad username e password dal contenuto del cookie, ma bisogna poter accedere al database del server.
Ori, ma cosa siginifica la tua frase "come fa phpbb, se non mi ricordo male"?
Un hacker potrebbe accedere ai database di un sito? |
|
|
|
ori
Moderatore
Città: Verona
2043 Messaggi |
Inserito il - 27/02/2006 : 09:05:57
|
Citazione:
Messaggio inserito da xman
Ori, ma cosa siginifica la tua frase "come fa phpbb, se non mi ricordo male"?
Che, sempre se mi ricordo bene, quando ti autentichi su un forum basato su phpbb il server verifica le tue credenziali (username e password) e se corrispondono genera in modo casuale un valore di sid (session identificator) che associa al tuo username. Nel cookie che ti manda viene salvato tale sid e non lo username e la password e la sessione viene mantenuta tramite tale sid (che viene rimosso dal db dopo in po' di tempo di intattivita`, sempre se mi ricordo bene)
Citazione:
Un hacker potrebbe accedere ai database di un sito?
Volendo si`, ma qui si va in altri ambiti. Ma in questo caso tu cosa puoi farci? |
|
|
|
xman
Average Member
77 Messaggi |
Inserito il - 06/03/2006 : 19:40:28
|
Citazione:
Messaggio inserito da ori
Volendo si`, ma qui si va in altri ambiti. Ma in questo caso tu cosa puoi farci?
Hai ragione ori, non potrei farci niente... cmq grazie.
Ciao! |
|
|
| |
Discussione |
|
Cookies
Forum Bloccato
