Как найти пароль в файлах cookie
Сохраненный пароль в браузере из куки. Как вытащить пароль из куки. Использование дополнительных программ
Сохраненный пароль в браузере из куки. Как вытащить пароль из куки. Использование дополнительных программ Создатели компьютерного программного обеспечения разработали огромное число приложений, которые помогают пользователю во время повседневной работы за ПК. Одним из таких элементов являются файлы «Cookies». Их предназначение заключается в следующем – они способствуют быстрому заключению к веб-странице, а также сохраняют информацию. Эта функция становится очень важной, при необходимости найти утерянные пароли.Порядок действий при уточнении пароля
В ряде случае владельцу компьютерной техники необходимо узнать имя и пароль, под которыми совершалось пользование тем или иным интернет-ресурсом. Процесс зависит от вида интернет-обозревателя, с помощью которого совершается вход. Так, при использовании браузера, к примеру, «Mozilla Firefox» обратите свое внимание, что он оснащен опцией «Записи Cookies», которые позволяют узнать данные прямо в программе. Для этого лишь нужно отыскать в меню раздел «Инструменты». Здесь можно увидеть несколько вкладок, среди которых следует перейти к «Защите». Перед пользователем появится окно, где размещен интересующий вас пункт «Сохраненные пароли». Открыв его, можно просмотреть весь список логинов, оставленных пользователями на разнообразных интернет-ресурсах. Также их можно защитить, установив в меню особенный пароль. Таким образом, проводится защита конфиденциальных данных.
Если же вы сторонник браузера «Opera», то обладаете возможностью узнать лишь имена тех, кто пользовался интернетом. Для получения этой информации, необходимо перейти во вкладку «Менеджер паролей», которая располагается в меню «Инструменты». Здесь можно просмотреть существующие логины. Чтобы отобразить и пароли, необходимо дополнительно установить «Opera Password Recovery».
Некоторые пользователи предпочитают использовать интернет-браузер «Google Chrome». В этом проводнике на панели инструментов найдите раздел «Настройки в параметрах». Здесь можно отыскать пункт «Показать файлы Cookies». Именно здесь размещается информация, интересующая вас.
Пользователи приложения «Internet Explorer» должны дополнительно установить утилиту под названием «Behind The Asterisks». Она и позволяет вытащить сохраненные пароли. Утилита является бесплатным продуктом, который без проблем можно использовать и в других браузерах.
Имя и пароль – это конфиденциальная информация, но в ряде случае появляется необходимость узнать эти исключительные данные. Это можно совершить с помощью файлов «Cookies». Сам порядок действий отличается в зависимости от вида используемого браузера. Правильный подход позволит в короткие сроки выполнить требуемые задачи.
| Как вытащить пароль из куки? | ||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||
Как вытащить пароль из кукисов
← →alucard © (2006-10-30 08:49) [0]
Доброго времени суток.
Народ, я пароль забыл на сайт и ящик e-mail у меня закрыли,
но по кукисам ещё входит, как и где найти мой пароль?
Спасибо.
← →
KilkennyCat © (2006-10-30 08:59) [1]
Зайти на сайт, предоставляющий почтовые услуги. Найти там линк "Я забыл пароль".
← →
KilkennyCat © (2006-10-30 09:00) [2]
И еще наблюдается противоречие: закрыли и входит.
← →
TurburatoR (2006-10-30 09:32) [3]
В кукисах пароля нет: либо номер сессии, либо мега-хэш пароля
← →
alucard © (2006-10-30 10:15) [4]
>В кукисах пароля нет: либо номер сессии, либо мега-хэш пароля
А где хранятся Хэш и номер сессии?
← →
Плохиш © (2006-10-30 11:07) [5]
> alucard © (30.10.06 10:15) [4]
> >В кукисах пароля нет: либо номер сессии, либо мега-хэш
> пароля
>
> А где хранятся Хэш и номер сессии?
Надо почитать стандарт на кукисы. Если таковых не найдёшь, то надо у провайдера спросить, хде же он такой-сякой изволит пароли прятать. Если не ответит, то смело подавай на него в суд.
← →
Anatoly Podgoretsky © (2006-10-30 11:09) [6]
>bА где хранятся Хэш и номер сессии?
В "кукисах"
← →
Gero © (2006-10-30 11:15) [7]
> [4] alucard © (30.10.06 10:15)
> А где хранятся Хэш и номер сессии?
А зачем это тебе?
← →
Anatoly Podgoretsky © (2006-10-30 11:42) [8]
> А зачем это тебе?
Надеется вытащить пароль из хеша
← →
MeF Dei Corvi © (2006-10-30 11:42) [9]
> Зайти на сайт, предоставляющий почтовые услуги. Найти там
> линк "Я забыл пароль".
Насколько я понял человек забыл пароль на сайт и не может его получить по почте, так как её закрыли. А может просто хацкер :)
> А где хранятся Хэш и номер сессии?
"Кукисы" хранятся в разных местах в зависимости от браузера. Впрочем в Опере и ФФ кукисы можно посмотреть из браузера, в случае IE - Document and Settings/<YourName>/Cookies/ и там искать интерисующий сайт.
> либо номер сессии
Вряд ли номер сессии, так как сессия скорее всего уже давно закрылась бы.
> либо мега-хэш пароля
Получив хэш, можно попытаться его расшифровать. Тут уже в зависимости от сайта. Например, по хэшу от IPB1.3 можно почти наверняка сразу же узнать пароль, воспользовавшись базами md5 в интернете. От IPB2.1 по хэшу узнать пароль, практически невозможно, благо он там двойной и ещё с какими-то извращениями.
← →
Anatoly Podgoretsky © (2006-10-30 11:45) [10]
> Например, по хэшу от IPB1.3 можно почти наверняка сразу
> же узнать пароль,
По хешу пароль узнать нельзя, можно получить бесконечное множество паролей из которых получится тот же хеш.
← →
Anatoly Podgoretsky © (2006-10-30 11:45) [11]
Удалено модератором
← →
Плохиш © (2006-10-30 11:54) [12]
> Anatoly Podgoretsky © (30.10.06 11:45) [11]
> Удалено модератором
Хм, самокритично :-))
← →
palva © (2006-10-30 12:01) [13]
Вряд ли в кукисах хранится хэш. Там просто хранится информация, что такого-то можно пускать без пароля до такой-то даты.
← →
Anatoly Podgoretsky © (2006-10-30 12:09) [14]
> Хм, самокритично :-))
Что ты понимаешь в самокритике, вот вчера я себя забанил, вот это была самокритика. Хорошо, что это была резервная система.
← →
Anatoly Podgoretsky © (2006-10-30 12:11) [15]
palva © (30.10.06 12:01) [13]
По сути это тоже хеш, врядли там в открытом виде хранится.
← →
KilkennyCat © (2006-10-30 12:12) [16]
Любая почтовая служба вполне может решить проблемы с забытыми паролями.
Иное монструозное решение навевает мысли о взломе.
← →
alucard © (2006-10-30 12:14) [17]
А где хэш хранится?
Да это же всё на моём компьютере, какой я хакер - полный круглосуточный доступ к нему с правами админа,
я же не спрашиваю вас как получить доступ к удалённому компу в сети с правами админа и оттуда что-то выкачать,
если бы я мог это сделать то такого бы вопроса как в заголовке у меня бы не возникло.
Удалено модератором.
← →
Плохиш © (2006-10-30 12:16) [18]
Вроде в [16] всё доступно сказано.
← →
KilkennyCat © (2006-10-30 12:18) [19]
> [17] alucard © (30.10.06 12:14)
Взлом может быть не только на удаленном компьютере. А другого пользователя. Например, просмотреть ящик жены :)
P.S.
В последнее время меня просто заваливают просьбами на взлом почты своих вторых половин... Вроде, не весна :)
← →
alucard © (2006-10-30 12:19) [20]
> Anatoly Podgoretsky © (30.10.06 11:42) [8]
> > А зачем это тебе?
>
> Надеется вытащить пароль из хеша
Надеюсь надеюсь.
← →
Gero © (2006-10-30 12:22) [21]
> [20] alucard © (30.10.06 12:19)
Надейся. Надежда умирает последней, как известно.
← →
alucard © (2006-10-30 12:28) [22]
> Gero © (30.10.06 12:22) [21]
В моём случае она не умрёт.
← →
alucard © (2006-10-30 12:30) [23]
в папке Cookies ничего с именем пользователя нет.
← →
Gero © (2006-10-30 12:32) [24]
> [22] alucard © (30.10.06 12:28)
Это хорошо. Она будет греть твое сердце.
← →
KilkennyCat © (2006-10-30 12:37) [25]
> [24] Gero © (30.10.06 12:32)
и даже после смерти - ибо по условию, последней умрет :)
← →
Gydvin © (2006-10-30 12:57) [26]
Что-то я непонял, если ты попадаешь на сайт по кукам, то вполне можешь зайти в свой профиль и там сменить пароль.
← →
alucard © (2006-10-30 13:06) [27]
Пароль не хранится в кукисах.
В кукисах может хранится Хэш, который расшифровывается на сервере и преобразуется в пароль.
А где у меня хэш в этом файле [email protected][1].txt:
passport_data
a%3A2%3A%7Bs%3A11%3A%22autologinid%22%3Bs%3A32%3A%22ec1d7681e495ec14ae69dc0cda311aea%22%3Bs%3A6%3A%22userid%22%3Bi%3A18315%3B%7D
ukr.net/
1536
1254617344
29891286
1758198848
29817862
*
← →
alucard © (2006-10-30 13:08) [28]
И есть ещё один:
phpAds_geoInfo
UA%7C%7C%7C%7C%7C%7C%7C%7C%7C%7C%7C%7Cgeoip.1
www.ukr.net/
1024
2407345024
29817831
221245024
29817831
*
← →
Gero © (2006-10-30 13:15) [29]
> [27] alucard © (30.10.06 13:06)
> Хэш, который расшифровывается на
> сервере и преобразуется в пароль.
Ты заблуждаешься.
> А где у меня хэш в этом файле
Примерно здесь:
> ec1d7681e495ec14ae69dc0cda311aea
Расшифровуй :D
← →
Gydvin © (2006-10-30 13:20) [30]
> Пароль не хранится в кукисах.
> В кукисах может хранится Хэш, который расшифровывается на
> сервере и преобразуется в пароль.
Он там не расшифровывается, а сравнивается с хешем хранимого пароля
← →
palva © (2006-10-30 13:21) [31]
> В кукисах может хранится Хэш, который расшифровывается на сервере и преобразуется в пароль.
1. Хэш нельзя рашифровать и превратить в пароль.
2. Зачем серверу нужен пароль? Для того чтобы взять от него хэш и сравнить с тем, который он хранит. Сервер не должен пускать пользователя по хэшу, а только по паролю. Потому что хэш можно украсть взломав сервер, а пароль - нельзя. Пароль можно украсть только в момент авторизации данного пользователя, хэши можно украсть в любой момент всем списком.
Это все я пишу к тому, что хэш не должен храниться в кукисах. Хотя сейчас в этом деле столько любительства, что все может быть.
← →
Gero © (2006-10-30 13:21) [32]
> [30] Gydvin © (30.10.06 13:20)
> а сравнивается с хешем хранимого пароля
Просто с хешем пароля, сам пароль нигде не хранится.
← →
Gydvin © (2006-10-30 13:23) [33]
> Просто с хешем пароля, сам пароль нигде не хранится.
Хорошо а как получают забытый пароль?
← →
Рамиль © (2006-10-30 13:24) [34]
> Что-то я непонял, если ты попадаешь на сайт по кукам, то
> вполне можешь зайти в свой профиль и там сменить пароль.
>
Любая, уважающая себя и пользователей, система аутентификации сначала попросит ввести старый пароль:)
← →
Gero © (2006-10-30 13:24) [35]
> [33] Gydvin © (30.10.06 13:23)
На нормальный ресурсах — никак. Его просто переустанавливают.
← →
alucard © (2006-10-30 13:30) [36]
При помощи хэша мне получается можно залогиниться?
Только что-то я в этих файлах ненайду своего пользователя :)
← →
palva © (2006-10-30 13:35) [37]
Нормальная система не должна восстанавливать забытый пароль. Она должна генерировать и высылать новый случайный пароль, с возможностью зайти на сайт и сменить его. Если сервер хранит пароли, то они должны быть зашифрованы, причем ключ должен вводиться человеком. Если пароль высылается автоматически в течение нескольких секунд, то это очень небезопасно. Кроме того, клиент будет знать, что администратору достаточно шепнуть своему приятелю пароль, и тот зайдет на сайт клиента из ближайшего интернет кафе.
← →
saxon (2006-10-30 13:37) [38]
> alucard © (30.10.06 13:30) [36]
autologinid ?
← →
alucard © (2006-10-30 13:39) [39]
HTTP/1.0 200 OK
Date: Mon, 30 Oct 2006 10:25:08 GMT
Server: Apache/2.0.59 (Unix)
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Last-Modified: Mon, 30 Oct 2006 10:25:08 GMT
Set-Cookie: ukr-kuka=feca9b913ebbcbb6bfaf8b83627f1778; path=/
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: passport_data=s%3A0%3A%22%22%3B; expires=Tuesday, 30-Oct-07 10:25:08 GMT; path=/; domain=.ukr.net
Set-Cookie: passport_sid=3d59188cb51b071e2b580f9dd6e47f34; path=/; domain=.ukr.net
Set-Cookie: passport_data=s%3A0%3A%22%22%3B; expires=Tuesday, 30-Oct-07 10:25:08 GMT; path=/; domain=.mobil.ru
Set-Cookie: passport_sid=3d59188cb51b071e2b580f9dd6e47f34; path=/; domain=.mobil.ru
Set-Cookie: redirect=http%3A%2F%2Fwww.stereo.ru%2F; path=/; domain=.ukr.net
Set-Cookie: check_cookies=1; expires=Monday, 30-Oct-06 11:25:08 GMT; path=/; domain=.ukr.net
Connection: close
Content-Type: text/html
← →
alucard © (2006-10-30 13:47) [40]
> palva © (30.10.06 13:35) [37]
У меня ящик который указан как основной спёрли, я могу сделать высылку туда пароля но его не прочитаю, а для изменения ящика нужен пароль.
Мне просто интересно теперь какой здесь SQL сервак это всё хранит.
← →
Gero © (2006-10-30 13:47) [41]
> [39] alucard © (30.10.06 13:39)
Зачем нам это?
← →
Gero © (2006-10-30 13:48) [42]
> [37] palva © (30.10.06 13:35)
> Кроме того, клиент будет знать, что администратору достаточно
> шепнуть своему приятелю пароль, и тот зайдет на сайт клиента
> из ближайшего интернет кафе.
Основная проблема не в этом, а том, что пользватели используют одни и те же пароли на разных ресурсах.
← →
Gydvin © (2006-10-30 13:49) [43]
> Любая, уважающая себя и пользователей, система аутентификации
> сначала попросит ввести старый пароль:)
да это я упустил из внимания :(
> На нормальный ресурсах — никак.
На нормальных да, а многие высылают пароль и следовательно его хранят
← →
alucard © (2006-10-30 13:51) [44]
> Gero © (30.10.06 13:47) [41]
Чтоб узнать по какому алгоритму этот хэш преобразовывать, для неизвестно чего, но я знаю что в итоге можно получить пароль.
← →
Alien1769 © (2006-10-30 13:57) [45]
> У меня ящик который указан как основной спёрли, я могу сделать
> высылку туда пароля но его не прочитаю, а для изменения
> ящика нужен пароль.
Не грузи. На укрнете есть вопрос подсказка, если ты его конечно знаешь. Я сам сижу на укрнете. Так вот если твой ящик, то енто не проблема.
← →
alucard © (2006-10-30 13:57) [46]
Заходите на Google.ru,
вводите "вычисление хэшей" и поиск.
← →
palva © (2006-10-30 13:57) [47]
> Основная проблема не в этом, а том, что пользватели используют одни и те же пароли на разных ресурсах.
А-а, понятно. В самом деле.
> Чтоб узнать по какому алгоритму этот хэш преобразовывать, для неизвестно чего, но я знаю что в итоге можно получить пароль.
Если вы узнаете пароль по хэшу, то алгоритм хэширования никуда не годится. И надо срочно писать сообщение в серьезный журнал о случае взлома алгоритма, чтобы этим алгоритмом больше никто не пользовался.
← →
alucard © (2006-10-30 14:01) [48]
> Alien1769 © (30.10.06 13:57) [45]
я не на укр нете, я поменял сайт чтоб не вычислили кто-то перед мной.
← →
Gero © (2006-10-30 14:02) [49]
> [44] alucard © (30.10.06 13:51)
Из хеша пароль получить невозможно. Еще есть вопросы?
← →
alucard © (2006-10-30 14:11) [50]
> Gero © (30.10.06 14:02) [49]
>Из хеша пароль получить невозможно.
согласен
>Еще есть вопросы?
Да.
Где здесь запрос сервера?
он гдето здесь(alucard © (30.10.06 13:06) [27], alucard © (30.10.06 13:39) [39] )
Можно посчитать PwDump и Sniff.
← →
Gero © (2006-10-30 14:14) [51]
> он гдето здесь(alucard © (30.10.06 13:06) [27], alucard © (30.10.06 13:39) [39] )
Да, он здесь: alucard © (30.10.06 13:39) [39]
← →
palva © (2006-10-30 14:14) [52]
Перебором если. Паролей типа cat vova, dot.
← →
McSimm © (2006-10-30 14:15) [53]
> Народ, я пароль забыл на сайт и ящик e-mail у меня закрыли,
> но по кукисам ещё входит, как и где найти мой пароль?
На этот сайт ?
← →
KilkennyCat © (2006-10-30 14:23) [54]
> [53] McSimm © (30.10.06 14:15)
Зачот :))
← →
alucard © (2006-10-30 14:31) [55]
Gero © (30.10.06 14:14) [51]
Вот это
Set-Cookie: ukr-kuka=feca9b913ebbcbb6bfaf8b83627f1778; path=/
?
← →
Gero © (2006-10-30 14:34) [56]
> [55] alucard © (30.10.06 14:31)
Ага.
← →
alucard © (2006-10-30 14:39) [57]
Gero © (30.10.06 14:34) [56]
Что в моём случае посоветуешь делать?
Заходить по хэшу?
← →
Gero © (2006-10-30 14:57) [58]
> [57] alucard © (30.10.06 14:39)
См. [1].
← →
MeF Dei Corvi © (2006-10-30 15:09) [59]
Удалено модератором
← →
KilkennyCat © (2006-10-30 15:24) [60]
> [59] MeF Dei Corvi © (30.10.06 15:09)
Идентичный хэш - это здорово. Да вот есть у меня подозрения, что она немножко однократна, эта идентичность :)))))
← →
alucard © (2006-10-30 16:01) [61]
Gero © (30.10.06 14:57) [58]
я не забыл пароль, я его и не знал. Когда ящик был - тогда я воспользовался восстановлением и с почты его скопировал в поле Password, почты уже нет!
MeF Dei Corvi © (30.10.06 15:09) [59]
Удалено модератором
Что там модератор вечно удаляет?
Если сейчас заходит, неужели нет варианта узнать как и продублировать это в случае очистки кукисов?
Думаю что есть.
KilkennyCat © (30.10.06 15:24) [60]
Что однократно, я уже месяц никакого пароля не вхожу.
Пароль вычислить по хэшу можно, люди умудрялись,
вопрос только как?
← →
Игорь Шевченко © (2006-10-30 16:14) [62]
> Пароль вычислить по хэшу можно, люди умудрялись,
> вопрос только как?
здесь - никак.
← →
MeF Dei Corvi © (2006-10-30 16:18) [63]
> Что там модератор вечно удаляет?
Ссылки вестимо :) Не знаю зачем, т.к. ссылки взяты с http://ru.wikipedia.org/wiki/MD5
← →
Anatoly Podgoretsky © (2006-10-30 16:20) [64]
> Что там модератор вечно удаляет?
Он доудаляется!
← →
KilkennyCat © (2006-10-30 16:25) [65]
> [61] alucard © (30.10.06 16:01)
Люди иногда умудряются попасть пальцем в небо. Но чаще - в другое место.
Как Вы до сих пор не поймете, что если из хэша можно вытащить пароль, то получается хэш просто-напросто пароль и есть? Только кодированный. Но тогда какой смысл в хэше? Оригинальная замена ***** ? Не кажется ли это глупым? И если кажется, то не стоит ли прийти к выводу о недостаточности информации? Почитать литературу? И уяснить трудоемкость задачи? И прийти к выводу, что проще узнать домашний адрес администратора почты, приехать к нему лично, предварительно смотавшись на другой полушар земли за экзотической бутылкой пива?
← →
Anatoly Podgoretsky © (2006-10-30 16:31) [66]
> И прийти к выводу, что проще узнать домашний адрес администратора
> почты, приехать к нему лично, предварительно смотавшись
> на другой полушар земли за экзотической бутылкой пива?
По крайней мере дешевле.
← →
MeF Dei Corvi © (2006-10-30 16:55) [67]
> По крайней мере дешевле.
Быстрее :)
> Как Вы до сих пор не поймете, что если из хэша можно вытащить
> пароль, то получается хэш просто-напросто пароль и есть?
Можно же ведь брутфорсом попытаться получить пароль, но сколько минут/часов/дней/месяцев/лет это займёт не известно. К тому же, если учесть, что искомый пароль действительно принадлежит автору, то я думаю, он знает из каких приблизительно символов состоит пароль и какой он длины.
← →
KilkennyCat © (2006-10-30 17:04) [68]
> [67] MeF Dei Corvi © (30.10.06 16:55)
C Вашей же ссылки в вики
Криптографическая хеш-функция должна обеспечивать:
стойкость к коллизиям (два различных набора данных должны иметь различные результаты преобразования)
необратимость (невозможность вычислить исходные данные по результату преобразования)
← →
Игорь Шевченко © (2006-10-30 17:09) [69]
KilkennyCat © (30.10.06 17:04) [68]
А начинающие, они верят, что яйцеголовые витают в облаках своей математики, и страшно далеки от народа. А народ, вооруженный посконной мудростью, запросто вычисляет пароли по хэшу, нужно только слово знать. Вот они слово и ищут. Или цветок папоротника - с цветком каждый дурак и без хэша пароль подберет.
← →
Vga © (2006-10-30 17:16) [70]
В хэшах тоже уязвимости находят... Насколько мне известно, в довольно популярных MD5 и SHA-1 уже нашли.
← →
KilkennyCat © (2006-10-30 17:23) [71]
> [69] Игорь Шевченко © (30.10.06 17:09)
Я бы с цветком папоротника лучше б клад нашел. Зачем сложные промежуточные этапы? :)
← →
Reindeer Moss Eater © (2006-10-30 17:31) [72]
Криптографическая хеш-функция должна обеспечивать:
стойкость к коллизиям (два различных набора данных должны иметь различные результаты преобразования)
необратимость (невозможность вычислить исходные данные по результату преобразования)
Должна, но не обеспечивает.
В силу фиксированной длины хеш значения.
Паролей бесконечно много и у каждого можно вычислить хеш.
Но хеш значений не бесконечно много.
← →
palva © (2006-10-30 17:55) [73]
Да и не лежит парольного хэша в кукисах - смысла нет.
← →
Anatoly Podgoretsky © (2006-10-30 19:28) [74]
> MeF Dei Corvi (30.10.2006 16:55) [67]
Сколько можно говорить, как получить то, чего нет?
← →
MeF Dei Corvi © (2006-10-30 21:09) [75]
> Сколько можно говорить, как получить то, чего нет?
Почему нет?
← →
Gero © (2006-10-30 22:17) [76]
> [75] MeF Dei Corvi © (30.10.06 21:09)
Потому что нет.
← →
alucard © (2006-10-31 09:03) [77]
> MeF Dei Corvi © (30.10.06 16:55) [67]
Знаю первую букву, что всего из 6 символов, пароль не сложный.
> palva © (30.10.06 17:55) [73]
А что тогда в кукисах лежит?
← →
alucard © (2006-10-31 09:10) [78]
Ссылки чтоб модератор не удалял плиз бросайте мне на ящик.
Надо что-то придумать чтоб по Автологину он у меня заходил, пока ещё впускает.
Как перенести на другой комп и какие файлы, или это невозможно?
← →
alucard © (2006-10-31 09:43) [79]
А как узнать алгоритм хэширования?
← →
Anatoly Podgoretsky © (2006-10-31 09:51) [80]
> alucard (31.10.2006 09:43:19) [79]
> А как узнать алгоритм хэширования?
Алгоритмы хеширования опубликованы в Сети
← →
Reindeer Moss Eater © (2006-10-31 09:53) [81]
косвенно по длине хеш значения
← →
palva © (2006-10-31 10:02) [82]
alucard © (31.10.06 09:03) [77]
> > palva © (30.10.06 17:55) [73]
> А что тогда в кукисах лежит?
Ну я ведь не знаю, что взбредет в голову тамошнему вэб-программисту. Я бы положил туда дату последнего захода по паролю и криптографический хэш этого значения, чтоб нельзя было подделать. Если со времени последнего захода прошло больше месяца, то этот кукис можно удалять и требовать ввода пароля.
Но на самом деле там может лежать все что угодно, вплоть до пароля в открытом виде. -- Столько сейчас разработчиков расплодилось с очень странными представлениями о безопасности.
← →
alucard © (2006-10-31 10:23) [83]
palva © (31.10.06 10:02) [82]
т.е. хэш вычисляется по определённому алгоритму по любому значению (например паролю, или дате последнего ввода пароля),
как и почему происхлдит Авто-логирование?
← →
Anatoly Podgoretsky © (2006-10-31 15:42) [84]
> palva (31.10.2006 10:02:22) [82]
> Столько сейчас разработчиков расплодилось с очень странными
> представлениями о безопасности.
Да нормальные представления. Ты кто такой? Пользователь! Так пользуйся.
← →
Anatoly Podgoretsky © (2006-10-31 15:43) [85]
> alucard (31.10.2006 10:23:23) [83]
> как и почему происхлдит Авто-логирование?
Это большой, большой вебмастеровский секрет.
Как извлечь информацию из Cookies
Как ставить кукиЗагружаем более раннюю версию Mozilla Please login or register to view links. Устанавливаем расширение Please login or register to view links. Делаем рестарт браузера. После чего нижеприведенным образом загружаем куки (нажимаем "Import Cookies..."). При успешной загрузке куков пишет, что "Imported *число* cookies!".
И таким образом мы установили куки, и у нас есть логи!
Для удобной работы сразу сделайте себе закладки тех сайтов, которые вам интересны. Теперь погнали разбирать по сервисам!
Вконтакте
Группы
Заходим в группы > Управление. Иной раз попадаются создатели, админы, редакторы групп. Если попался админ, заходим в Управление группой > Участники > Руководители. Бывает такое, что создатель группы забанен/удален/очень давно не заходил. В таком случае вступаем в группу со своей страницы и передаем админ права, не забыв удалить остальных администраторов. Если попался редактор/создатель, то у вас есть трафик. Можно использовать стену групп для своих целей. Например, кинуть фейк вк, купоны и т.д. Тут уже дело фантазии.
Документы
Тут в основном гифки и всякий шлак, но изредка могут попасться и сканы документов (сохраняйте, пригодятся), либо файлы с паролями.
Диалоги
Тут можно найти интимные фотки, а это отлично, ведь шантаж – хорошее ремесло. Чекайте переписку с самим собой, девушкой/парнем, также могут быть еще и документы с паролями или скринами.
Настройки приложений
Этот пункт можно найти в настройках страницы. Там хранятся авторизации через ВК на сторонних сайтах/приложениях. Какие сервисы там есть, заходите на них и авторизуйтесь с помощью контакта. Вдруг прострелит что-то интересное.
Instagram
Тут все очень просто! Если есть пароль от почты, то перепривязываем почту, меняем телефон и уводим акк. А зачем – решать вам.
Gmail
Почтовый ящик
Изначально в почте можно найти письма от интересных вам сервисов, восстановить пароль и забрать то, что вам нужно. Но это лишь малая часть! Аккаунты от почт скрывают в себе много интересного...
Когда поставили куки, авторизовываться уже не нужно (но не всегда). И не забывайте, что аккаунт может быть не один. Для этого вверху справа нажимаем на иконку профиля, очень часто оказывается, что авторизовано одновременно несколько пользователей.
Google Диск
Он может скрывать много интересного, начиная от сканов документов и фотографий, заканчивая текстовиком со всеми паролями. Основной диск – не так интересно, у пользователя может стоять синхронизация с ПК, а для этого заходим во вкладку "Мои компьютеры". Там обычно такие папки как рабочий стол, документы, изображения. Вы понимаете, что хранят на рабочем столе... Еще можно пройтись по вкладкам диска "Доступные мне" и "Корзина".
Мой аккаунт > Безопасность и вход > Приложения, у которых есть доступ к аккаунту
Этот путь ведет к самому сокровенному – пароли, которые сохранены в Google. Таким образом, один аккаунт может принести еще очень много паролей и авторизаций на сторонних сайтах и приложениях.
Мой аккаунт > Конфиденциальность > Действия в сервисах Google
Тут хранятся поисковые запросы, просмотренные видео в YouTube, скачанные приложения на андроид и т.д.
Эмулятор Android
А стоит ли вам говорить, что в аккаунт Google можно войти на эмуляторе Android? К слову, у многих по умолчанию включена синхронизация, поэтому все данные перейдут на ваш эмулятор, начиная от контактов и заканчивая авторизацией в других приложениях.
Безопасно ли хранить пароли в куки?
нет, не совсем безопасно. У вас нет гарантии, что cookies не хранятся в обычном тексте (и на самом деле, большинство реализаций do сохранять их как обычный текст).
имейте в виду, "помните меня" по своей сути небезопасно, так как любой, кто перехватывает cookie, получает доступ к приложению. Но разоблачение пароля пользователя делает его еще одним шагом вниз по лестнице безопасности. :- ) И, вероятно, делает пользователя действительно злым, если они узнают.
Я использую зашифрованный файл cookie строка, которая включает имя учетной записи Пользователя в сочетании с токеном, который (другим) образом не связан с учетной записью пользователя, кроме как в таблице на моем сервере. Когда пользователь возвращается на сайт, мы расшифровываем файл cookie и ищем, действительно ли этот токен связан с этой учетной записью. Маркер (и, следовательно, cookie) изменяет каждый автоматический вход и аннулирует тот, который используется для этого автоматического входа. (Существует связь "многие-к-одному" между токенами и учетной записью, чтобы разрешить автоматический вход из нескольких мест. Вы можете ограничить это, если хотите.) Время ожидания токенов, если они не используются в течение X дней. (Это делается не только путем ограничения продолжительности файла cookie, но и на стороне сервера.) Есть несколько других вещей, которые я бросаю туда, чтобы сделать жизнь немного трудно для кого-то, кто пытается декодировать файл cookie (успешно расшифровав его) или использовать украденный файл cookie( который не требует расшифровки), но нет смысла идти на излишество (опять же, " помните меня небезопасна).
Я использую это на сайте, где надежная безопасность на самом деле не нужна (очевидно) и имеет большое количество клиентов dynamic-IP, и поэтому я не пытаюсь заблокировать его до IP. Но даже блокировка его до IP не делает его безопасным, он просто уменьшает поверхность атаки немного.
вам может быть интересно, почему у меня есть имя пользователя в cookie. Для прямых целей "Запомнить меня" я бы не рекомендовал иметь его там, даже если он зашифрован (после все, это половина пары аутентификации в системе имени пользователя+пароля). Я был немного удивлен, найдя его в нашем cookie, когда я посмотрел на формат, напоминая себе, как мы сделали это для этого вопроса; но затем я увидел комментарии, объясняющие, почему он есть, и есть причины, не связанные с " Запомнить меня "(не обязательно убеждения причины, оглядываясь назад, но причины).
на последней ноте тот факт, что "помните меня" по своей сути небезопасно, является одной из многих причин почему журналы сайта очень важны, и почему вы должны требовать reverification пароля в процессе разрешения изменений важной информации об учетной записи (чтобы сделать его более сложным для кого-то, кто украл cookie, чтобы взять на себя ответственность за учетную запись).
Cookie — что это такое, как их включить или очистить куки в браузере
Cookie — что это такое? Вопреки названию, это не имеет ничего общего с кондитерскими изделиями. Cookies — это крошечные файлы с данными, расположенные на устройстве пользователя, которые значительно упрощают нашу жизнь и представляют серьезную угрозу для конфиденциальности.
Файлы сookie — это информационный источник, обеспечивающий маркетологов необходимыми сведениями для создания контекстной рекламы.
Во время просмотра веб-страниц, вы частенько натыкаетесь на сообщение о согласии с условиями по сбору ваших данных на сайте. Потому что современные IT-технологии развились настолько, что браузер может фиксировать абсолютно все наши действия.
К примеру: отложенный вами товар в корзине интернет-магазина, ваши поисковые запросы, ваш логин и пароль в социальных сетях и так далее. Затем, «как по волшебству», вы видите рекламу товара или услуги, которую вы недавно искали. Именно куки являются теми самыми вспомогательными данными, в осуществлении таких операций. В данной статье мы поговорим о том, как включить или очистить файлы cookie и что это такое.
На самом деле существуют два схожих по свойствам файла, такие как: кэш и куки. Однако, если копнуть глубже, они отличаются по многим параметрам. Но для того, чтобы вы поняли более подробно, некоторые сведения в этой статье написаны не совсем корректно, а именно часть свойств в описании файлов cookie больше присущи кэшу и наоборот. Следовательно, для общего понимания вопроса, данная статья написана более простым и понятным языком, без углубленных разграничений зон ответственности между данными свойствами.
Изображение в виде цепочки собранных данных
Что такое cookie в браузере
Представьте, что вы входите в ваш любимый интернет-портал. Пользоваться им очень комфортно, поскольку этот портал помнит все ваши данные: ваш mail; логин; пароль и так далее. Следовательно, вам не требуется вводить сведения о себе по новой, каждый раз как вы заходите на сайт. Также, в базе данных сайта сохраняются все ваши действия, например, вы прошли социальный опрос, повторно его уже не будет, потому что вы не можете много раз высказывать свое мнение по одной теме. Браузер запоминает вашу локализацию и вам не придется повторно выбирать русскую или английскую версию при входе на сайт. Знакомо — не правда ли?
Описанный случай является стандартом в современном интернете. Его бы не было, если бы не cookie. Простыми словами — это небольшие файлы, в которые помещаются данные, которыми обмениваются браузер и определенный сайт. Этот механизм позволяет исключить случаи многократного голосования в одном опросе и позволяет вести счетчик уникальных посещений сайта (конечно, эти опции зависят непосредственно от настроек самого сайта).
Файлы куки чрезвычайно полезны для предпринимателей. Они играют очень важную роль в интернет-магазинах, landing page, корпоративных сайтах и всех сервисах, где необходимо учитывать поведенческие факторы посетителя. Они могут запомнить товары, которые просматривал пользователь и сколько времени он провел на сайте. Также, существует параметр «UTM-метки», через который можно определить из какого ресурса человек, перешел на сайт, например, из группы в социальных сетях или другого портала. Данные сведения очень важны для специалистов занимающихся продвижением сайтов — они позволяют сделать точную оценку рекламной кампании и лучше понять привычки и предпочтения потенциальных клиентов.
Одна из целей куки: специалисты в области интернет-маркетинга отталкиваются от данных о страницах, на которых находился объект. Затем, пользователь, периодически заходящий на сайты по спортивному питанию, например, увидит рекламу о протеиновых батончиках или жиросжигающих препаратах на странице поисковой системы или в социальных сетях. Благодаря куки появилась возможность сформировать систему ремаркетинга. Задача данной концепции — вернуть покупателя на сайт, который отказался от целевого действия, допустим покупки чего-либо, или вовсе зайдя на главную страницу не перешел к товарам или услугам. Данные сведения о потенциальном потребителе остаются в файле cookie и могут в дальнейшем использоваться. То есть, человек наблюдает рекламу, в которой присутствуют, ранее просматриваемые им предложения. Информация из этих файлов, также применяется для организации индивидуальной рассылки, предлагая купить продукты в той же категории.
Как мы уже сказали, основная отличительная черта куки, заключается в том, что они являются вспомогательным элементом для браузера в фиксации различных данных о пользователе. Однако, очень часто мы слышим недостоверные сведения про cookie и считаем, что их нужно опровергнуть:
- Куки не являются программой — это текстовый файл.
- Они не заразят ваше устройство вирусом.
Основные задачи cookie
Перечень самых основных задач:
- Авторизация (браузер) — браузер фиксирует ваш логин и пароль при регистрации, тем самым дает возможность для входа в ресурс без повторного ввода данных. Однако, чаще всего, перед этим браузер у вас запросит разрешение на сохранение ваших данных.
- Сохранение параметров (сайт) — благодаря куки, все заданные вами параметры в поисковой системе будут сохранены, например, язык, регион или фильтр поиска.
- Мониторинг операций на сайте (сайт) — обыденная практика, когда cookie отслеживают шаги пользователя на сайте для сбора статистических сведений. В следствии, эти сведения применяются в сфере услуг интернет-маркетинга.
В куки фиксируются сведения о том, какую рекламу или новость человек уже просматривал и где совершал целевые действия, а где нет. И если говорить про куки для сайта частных предпринимателей, то можно не опасаться «слива» персональных данных, однако нельзя сказать того-же самого про крупные сетевые организации. Существует закон о том, что распространение файлов куки строго запрещено и за нарушение данного правила полагаются серьезные штрафы, но тем не менее в нашей практике иногда встречаются такие случаи.
Предположим, что вы администрируйте сайт через панель WordPress. Если вы поставите галочку «запомнить меня» на стороннем устройстве, то его владелец сможет воспользоваться этими данными и к примеру — зайти в ваш аккаунт. Правильней всего открывать страницы через режим инкогнито и не отмечать галочкой пункт «Запомнить» при введении персональных данных или каких-либо паролей.
Отключение cookie, в целях приватности доставит вам больше дискомфорта, чем удобств. Каждый раз вам придется вводить свои данные заново, при входе на ресурс, в котором вы уже были зарегистрированы или переходя в интернет-магазин, с ранее заполненной корзиной.
Также, для предельной конфиденциальности, одного выключения файлов будет мало. Необходимо целиком перестроить свое поведение в веб-пространстве и изменить привычные параметры программ и веб-приложений. Иначе говоря, такие тезисы как: удобство и безопасность просто несочетаемы.
25 мая 2018 года был введен закон о правах защиты данных граждан Евросоюза. Его сокращенное наименование GDPR — General Data Protection Regulation. Основная суть указа в том, что владельцы сайтов, занимающихся сбором данных об действиях посетителей на ресурсе, обязаны информировать их об этом. Сбор можно начинать осуществлять только после подтверждения пользователя, что его уведомили о данной информации. В случае, если ваш сайт сосредоточен на работе, не только гражданами России, но и Европы, то вы однозначно попадете под санкции за нарушение регламента.
Раз уж мы затронули сбора данных, необходимо осветить еще один очень тонкий момент. Файлы куки не являются вспомогательным элементом в сборе персональных данных. Поскольку владелец сайта не может интенсифицировать человека, чьи действия отображаются в куки. То есть, куки не предоставляет информацию о том, что — это Иванов Иван Иванович, 1992.01.01 года рождения, проживающий по адресу: город Москва улица Ленина дом 100, квартира 101.
С недавних пор русских интернет-предпринимателей, также начали штрафовать за несоблюдение данных правил. В теории можно попасть на штраф до €20 миллионов. По факту сумма санкций рассчитывается индивидуально, исходя из ситуации.
Совет предпринимателям: не в коем случае не злоупотребляйте вышеуказанными правилами, если не хотите серьезных осложнений. Тем более с этической точки зрения, не правильно заниматься сбором данных о вашем клиенте без его ведома. Информируйте людей о cookie файлах. Но не обязательно делать это слишком прямолинейно и однобоко. К примеру: наша IT-компания, уведомляет посетителей сайта о сборе персональных данных, непринужденно и долей юмора, чтобы не вызвать у человека отторжения.
Уведомление о применении cookie в Prostudio
Как включить или отключить куки
В современном мире любой пользователь должен понимать, как включить файлы cookie, чтобы адаптировать свою жизнедеятельность, не вписывая свои данные по новой, при повторном входе в ресурс, в котором они ранее регистрировались. Поэтому мы написали инструкцию по включению cookies в Яндекс Браузере и Google Chrome.
Файлы cookie очень часто критикуют из-за того, что их применяют для сохранения данных о пользователях всемирной паутины. Но, куки не запоминают лично вас, а присваивают вам некий идентификационный номер и историей ваших действий. Поэтому, веб-ресурсы обязаны информировать их посетителей, об использовании куки-файлов. Как мы уже говорили, сложность в том, что без них пользователь будет испытывать дискомфорт в интернете. Но, если вы не хотите, чтобы файлы cookie отслеживались, вы можете отключить поддержку в браузере.
Яндекс браузер
Чтобы включить куки в Яндекс Браузере:
1. Откройте «Настройки» браузера.
Открытие настроек Яндекс Браузера
2. Выберите в sidebar раздел «Сайты».
3. Затем откройте раздел «Расширенные настройки».
Выбор расширенных настроек Яндекс Браузера
4. Опуститесь вниз страницы до раздела «Cookie-файлы» и выберите пункт «Разрешены».
Включение куки
Таким же образом вы можете отключить данные файлы, в случае необходимости, выбрав пункт «Запрещены». В случае, если вы хотите ограничить сбор ваших данных для какого-то определенного сайта, вам необходимо:
1. Также, зайдите в «Настройки сайтов».
2. В верхней строке меню, выберите вкладку «Запрещены».
3. В левом верхнем углу кликните «Добавить».
Добавление сайта в раздел запрещенных для использования куки
4. В всплывающей строке, введите URL необходимого сайта.
Добавление URL сайта
Тем самым, вы ваши куки-файлы останутся открытыми для браузера, и вы ограничите сбор данных для определенного сайта. По аналогичному методу, вы можете совершить обратную операцию, закрыть ваши данные для браузера в целом и выбрать конкретные сайты, с которыми хотели бы делиться информацией о ваших действиях.
Google Chrome
Чтобы включить или отключить cookies в Google Chrome:
1. Откройте «Настройки» браузера.
Открытие настроек в панели Google Chrome
2. Найдите заголовок «Конфиденциальность и безопасность».
3. В категориях данного заголовка зайдите «Настройки сайта».
Выбор настроек сайта для включения куки в Google Chrome
4. Затем, откройте вкладку «Файлы cookie и данные сайтов».
Открытие параметра куки в настройках
5. В появившемся окне, вы можете включить или отключить куки файлы, с помощью перевода кнопки в необходимое положение, расположенной в капсуле, находящейся напротив нужного вам параметра.
Разрешение использования куки файлов
Добавление или блокировка определенных сайтов, происходит аналогично параметрам в Яндекс Браузере.
Как очистить cookies
Если вы хотите подчистить файлы куки в своем браузере и не знаете — как это сделать, прочитав нашу инструкцию вы поймете, что ничего сложного в этом нет. Однако, это не обеспечит вам ожидаемую конфиденциальность. Поскольку вы удаляете свою историю непосредственно с вашего устройства, но в базе данных, расположенной на сервере браузера все ваши действия сохраняются в любом случае. Чаще всего данную опции используют, по причинам того чтобы скрыть историю своих действий от людей, у которых есть доступ к вашему смартфону или ПК.
К примеру, случай из жизни: недавно мы решили написать статью на тему: Окна Овертона. Лично я принципиально работаю в офисе нашего агентства, стараясь дома больше проводить время с семьей и рабочий Macbook беру домой крайне редко. Но данная статья оказалась масштабной и пришлось поработать дома вечером (рабочий компьютер остался в офисе). Корректировать статью пришлось с общего компьютера, к которому имеют доступ дочка и жена. Дочка еще маленькая, но уже активно пользуется интернетом. На общем компьютере у меня сохранился пароль к системе управления нашим сайтом. Следовательно, мне было необходимо воспользоваться очисткой cookie.
Яндекс браузер
1. Откройте панель управления браузером и выберите вкладку «Дополнительно».
2. В данной вкладке выберите «Очистить историю».
Очистка истории Яндекс Браузера
3. Выберите период и пункт «Файлы cookie и другие данные сайтов и модулей» для удаления.
4. Кликните на кнопку «Очистить».
Выбор времени и файла перед очисткой куки в Яндекс Браузере
Google Chrome
1. Откройте «Настройки» браузера.
Открытие настроек в панеле Google Chrome
2. Найдите заголовок «Конфиденциальность и безопасность».
3. В категориях данного заголовка зайдите «Очистить историю».
Выбор пункта очистки истории в Google Chrome
4. Выберите период и пункт «Файлы cookie и другие данные сайтов» для удаления.
5. Кликните на кнопку «Удалить данные».
Выбор времени и параметров очистки в Google Chrome
Итоги
Теперь вы знаете зачем нужны файлы cookie, где они находятся и можете с толком применять функцию отключения или включения в нужный момент. Если вы не донца поняли данную тему, или не нашли ответа на свой вопрос — пишите нам в комментариях, и мы вам подробно ответим.
Как найти пароли из файлов cookie
Автор: Foye Robinson
Обновлено 28 сентября 2017 г.
Microsoft определяет cookie как «очень маленький текстовый файл, размещаемый на жестком диске сервером веб-страницы». Файлы cookie позволяют веб-сайту запоминать ваш компьютер, когда вы возвращаетесь на сайт, поэтому вам не придется повторно вводить данные, когда вы вернетесь на сайт. Разрешение файла cookie сохранять ваш пароль может быть полезно, если вы используете частный компьютер. Но результаты могут быть пагубными на общедоступном компьютере, поскольку другие пользователи получают доступ к конфиденциальным данным о вас.
Файлы cookie, сохраненные в Firefox
Откройте Firefox и нажмите «Инструменты» и «Параметры».
Выберите вкладку «Безопасность» в диалоговом окне «Параметры».
Перейдите в раздел «Пароли» и нажмите «Сохраненные пароли».
Нажмите «Показать пароли» в диалоговом окне «Сохраненные пароли» и выберите «Да» для «Вы уверены, что хотите показать свои пароли?»
Прокрутите список, чтобы найти нужный пароль, затем нажмите «Закрыть». Нажмите «ОК», чтобы закрыть диалоговое окно «Параметры».
Файлы cookie, сохраненные в Internet Explorer
Загрузите бесплатную копию IE PassView. Архивированная копия программы будет сохранена на вашем компьютере.
Разархивируйте файлы, затем щелкните «IEPV.exe» и выберите «Выполнить». Список ваших паролей будет автоматически отображаться в окне «IE PassView».
Прокрутите, чтобы найти нужный пароль, затем закройте программу.
.c # - безопасно ли хранить пароли в файлах cookie?
Переполнение стека- Около
- Продукты
- Для команд
- Переполнение стека Общественные вопросы и ответы
- Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
- Вакансии Программирование и связанные с ним технические возможности карьерного роста
- Талант Нанимайте технических специалистов и создавайте свой бренд работодателя
- целесообразно ли хранить хешированный пароль в файле cookie?
Переполнение стека- Около
- Продукты
- Для команд
- Переполнение стека Общественные вопросы и ответы
- Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
- Вакансии Программирование и связанные с ним технические возможности карьерного роста
- Талант Нанимайте технических специалистов и создавайте свой бренд работодателя
php - хешированные пароли в куки
Переполнение стека- Около
- Продукты
- Для команд
- Переполнение стека Общественные вопросы и ответы
- Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
Как работает аутентификация на основе файлов cookie?
Переполнение стека- Около
- Продукты
- Для команд
- Переполнение стека Общественные вопросы и ответы
- Переполнение стека для команд Где разработчики и технологи делятся частными знаниями с коллегами
- Вакансии Программирование и связанные с ним технические возможности карьерного роста
- Талант Нанимайте технических специалистов и создавайте свой бренд работодателя
