Форум: "Потрепаться";
Текущий архив: 2005.01.23;
Скачать: [xml.tar.bz2];
ВнизМожно ли воровать куки без Java и ActiveX? Найти похожие ветки
← →
Anton_K © (2004-12-30 17:08) [0]Есть сайт, на сайте используется PHP. Вопрос: могут ли злоумышленники стянуть у меня через этот сайт куки (cooks)?
← →
Anton_K © (2004-12-30 17:10) [1]Извиняюсь, cookies.
← →
DiamondShark © (2004-12-30 17:37) [2]Как это "стянуть куки через сайт"?
Куки хранятся на клиенте и передаюются в HTTP-заголовках, следовательно, "стянуть куки" можно либо на клиенте (например, встроившись в браузер, используя объектную модель браузера, просматривая локальные файлы браузера, иммитируя клиент), либо перехватив HTTP-трафик.
А что используется на сайте -- вопрос шестнадцатый.
← →
Anton_K © (2004-12-30 17:41) [3]Как это "стянуть куки через сайт"?
Ну, например я на этот сайт захожу, все мои куки копируются и отсылаются на e-mail вору, естественно так, что бы я ничего не заметил.
Можно ли это провернуть без Java и ActiveX?
← →
kaZaNoVa © (2004-12-30 17:51) [4]Anton_K © (30.12.04 17:41) [3]
можно, НО что ты понимаешь под Java ??
если включен javascript - то запросто, иначе сложнее
← →
kaZaNoVa © (2004-12-30 17:52) [5]если ВСЁ, отключено+ хороший фаерволл+ браузер Опера, то 100% нельзя :))
Опера рулит
← →
kaZaNoVa © (2004-12-30 17:54) [6]DiamondShark © (30.12.04 17:37) [2]
> перехватив HTTP-трафик.
это слишком - явно автор это не расматривает - используй SSL
> (например, встроившись в браузер, используя объектную
> модель браузера, просматривая локальные файлы
> браузера, иммитируя клиент),
это круто :))))))
но нужно тогда у клиента запустить прогу, а это уже другое :)
← →
Anton_K © (2004-12-30 17:54) [7]если ВСЁ, отключено+ хороший фаерволл+ браузер Опера, то 100% нельзя :))
А если, всё отключено+нет фаерволла+браузер IE?
← →
DiamondShark © (2004-12-30 18:01) [8]Можно без Java и ActiveX, используя скрипты.
Это возможно в двух случаях: либо сайт изначально злонамеренно спроектирован, либо имеет дырки, например, форум, не фильтрующий сообщения, и позволяющий злоумышленнику опубликовать сообщение, содержащее HTML со скриптом, который будет отправлен клиентам при прочтении этого сообщения.
← →
kaZaNoVa © (2004-12-30 18:03) [9]Anton_K © (30.12.04 17:54) [7]
поставить фаерволл, Оутпост лучший, без фаерволла ща НЕЛЬЗЯ 100%
← →
DiamondShark © (2004-12-30 18:05) [10]
> но нужно тогда у клиента запустить прогу, а это уже другое
> :)
HTML-страница со скриптом и есть прога, запускаемая у клиента.
Естественно, если у клиента отключены скрипты, то фига.
← →
DiamondShark © (2004-12-30 18:06) [11]Собственно, вопрос назрел: автор-то чего хочет? Воровать куки или защититься от злонамеренного использования своего сервиса?
← →
kaZaNoVa © (2004-12-30 18:08) [12]DiamondShark © (30.12.04 18:05) [10]
> HTML-страница со скриптом и есть прога, запускаемая у
> клиента.
ага, полномочия и возможности Java и javascript НАМНОГО меньше чем Exe и ActiveX (ActiveX=Dll - сам так "делал" :)
DiamondShark © (30.12.04 18:06) [11]
ты прав, и вправду странно ..
← →
Anton_K © (2004-12-30 18:11) [13]Когда сайт изначально предназначен для воровства куков, можно и без JavaScript обойтись?
автор-то чего хочет?
Просто мне тут сказали, что воровать куки можно только с помощью ActiveX или Java и я решил убедиться, так ли это.
← →
DiamondShark © (2004-12-30 18:26) [14]
> Когда сайт изначально предназначен для воровства куков,
> можно и без JavaScript обойтись?
Свои собственные куки сайт и так видит.
А для других -- нужно исполнение на стороне клиента.
> Просто мне тут сказали, что воровать куки можно только с
> помощью ActiveX или Java и я решил убедиться, так ли это.
Не только. С помощью JavaScript тоже можно (только не скажу как ;) ).
Вопрос в том, откуда на твоём сайте злонамеренный код окажется...
← →
nikkie_ (2004-12-30 18:31) [15]насколько я понимаю, из javascript можно получить доступ к кукам с этого сайта только. по-крайней мере, был патч к IE, закрывающий доступ к чужим кукам. поэтому, если эта дырка закрыта, то ситация, описанная в [8], к фатальным последствиям не приведет.
← →
Anton_K © (2004-12-30 18:33) [16]Всем спасибо!
← →
Danilka © (2004-12-31 08:39) [17][15] nikkie_ (30.12.04 18:31)
Почему? Имеется некоторый сайт. На этом сайте есть форум позволяющий встраивать скрипты, есть регистрация, для участия на форуме, при этом логин и пароль лежат в куках.
При открытии клиентом страницы, скрипт запускается и имеет доступ к кукам сайта, а значит к логину и паролю. Правда, что с ним дальше делать - незнаю. :)
← →
Layner © (2004-12-31 08:42) [18]поставить фаерволл, Оутпост лучший
Ой не соглашусь, худшего я не видел. Особенно глючит под XP. Сообщениями завалит. При автозагрузке часто слетает. Требует глубоких знаний в настройке. А уж на сколько он систему грузит, я уж промолчу.
А вот поставил и не беспокойся не о чем, настроив раз и навсегда, это, Norton Internet Security 2000(2003). Или ZoneAlarm.
Вопрос: могут ли злоумышленники стянуть у меня через этот сайт куки (cooks)?
Дык, куки шифруй, и даже если стянув их, злоумышленник не прочитает их.
← →
DiamondShark © (2004-12-31 09:06) [19]Эта... а можно безграмотного просветить: чем файервол поможет-то?
Сидит кака в браузере, общается там с кем-то по HTTP. Ну и что ей файервол сделает?
← →
Danilka © (2004-12-31 09:36) [20][19] DiamondShark © (31.12.04 09:06)
Вероятно, поможет, если данные пойдут не на сайт, на котором он сидит, а куда-то в другое место? Честно говоря, не знаю, сам в этом чайник. :)
← →
kaZaNoVa © (2004-12-31 09:56) [21]Layner © (31.12.04 8:42) [18]
> Особенно глючит под XP
у меня 2003 глюки очерь редки ..
> Сообщениями завалит
при нормальной настройке - не одного :)))
> При автозагрузке часто слетает
бывает ОЧЕНЬ редко, лечится перезагрузкой
> Требует глубоких знаний в настройке
имхо, не соглашусь - нажал "на основе стандартного" - и работай:))))
- защищает вообще супер, не даёт пинговать:))
> А уж на сколько он систему грузит, я уж промолчу
не согласен, как может фаерволл грузить?
это же не антивирус всё-таки:)))
> ZoneAlarm.
раз ставил - он вообще зверь - даже отключенный испевает блокировать (что, не разбирался) - он мне слишком "невоворотливым" показался, но то, что он "устойчивее" Оутпоста, однозначно ...
Имхо всё-таки, самый лучший - всё- таки Оутпост :)))
//очень хороший лог ведёт:))
← →
Layner © (2004-12-31 11:09) [22]
> А уж на сколько он систему грузит, я уж промолчу
не согласен, как может фаерволл грузить?
это же не антивирус всё-таки:)))
А вот уж согласись, не знаю как у других программ, а у оутпоста БД хранится в формате Access, представь сколько там идет запросов в секунду?
← →
kaZaNoVa © (2004-12-31 11:11) [23]Layner © (31.12.04 11:09) [22]
да .. круто ..
тогда согласен:))
//но по защите -он лучший !!
/имхо:))
← →
kaZaNoVa © (2004-12-31 11:13) [24]Layner © (31.12.04 11:09) [22]
> у оутпоста БД хранится в формате Access
точно !!!!
только что посмотрел - 9 МБ она у меня %)
← →
Nikolay M. © (2004-12-31 11:17) [25]
> А вот поставил и не беспокойся не о чем, настроив раз и
> навсегда, это, Norton Internet Security 2000(2003).
NIS - это испоганеный симантеком AtGuard. У меня лично AtGuard 3.22 уже лет 5 стоит и не жужжит. Очень удобный в настройке + умеет банеры вырезать.
← →
kaZaNoVa © (2004-12-31 11:34) [26]Nikolay M. © (31.12.04 11:17) [25]
Оутпост классно баннеры режет:))
а AtGuard лучшЕ?
//я его не юзал
← →
Layner © (2004-12-31 11:40) [27]
NIS - это испоганеный симантеком AtGuard.
Да не сказал бы, видел я AtGuard, когда ещё на 98 сидел, а потом на NIS перешел... что главное от программы фиривола? Чтоб ее не было видно и слышно, и она справлялась со своими задачами на 100%, вот именно на NIS я остановил свой выбор, после мытарств туда сюда... 2003 NIS ещё не видел, сейчас вроде уже 2005 есть, может там что добавили из новшеств, надо как нибудь собраться, обновиться... Хотя ещё раз, 2000 NIS ну очень подходящий продукт.
← →
Nikolay M. © (2004-12-31 11:53) [28]
> kaZaNoVa © (31.12.04 11:34) [26]
> Оутпост классно баннеры режет:))
> а AtGuard лучшЕ?
> //я его не юзал
Ну, если режет, то что еще надо? :)
Я давно еще ставил одну из первых версий аутпоста - чем-то не понравился, снес. Сейчас же, по отзывам, один из самых удачный фаерволов. Но опять ставить ломает :%)
> Layner © (31.12.04 11:40) [27]
> NIS - это испоганеный симантеком AtGuard.
> Да не сказал бы, видел я AtGuard
Ой, лучше и не говори :)
http://www.yandex.ru/yandsearch?rpt=rad&text=norton+internet+security+atguard
НИС мне не понравился свое громоздкостью и неинтуитивностью + там не было, кажется, возможности заблокировать входящие соединения только какого-то одного порта или одного хоста, уже не вспомню.
← →
kaZaNoVa © (2004-12-31 12:02) [29]Nikolay M. © (31.12.04 11:53) [28]
>Ну, если режет, то что еще надо? :)
> Я давно еще ставил одну из первых версий аутпоста -
> чем-то не понравился, снес. Сейчас же, по отзывам,
> один из самых удачный фаерволов. Но опять ставить
> ломает :%)
ок :)))
OutPost я не на кого не променяю :)))))
← →
Nikolay M. © (2004-12-31 12:11) [30]
> OutPost я не на кого не променяю :)))))
Дык дело вкуса.
Никто же не заставляет - правильно? :)
← →
kaZaNoVa © (2004-12-31 13:42) [31]Nikolay M. © (31.12.04 12:11) [30]
ага
:))
"о вкусах не спорят" ©
Страницы: 1 вся ветка
Форум: "Потрепаться";
Текущий архив: 2005.01.23;
Скачать: [xml.tar.bz2];
Память: 0.53 MB
Время: 0.041 c