Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Прочее";
Текущий архив: 2006.11.19;
Скачать: [xml.tar.bz2];

Вниз

Как вытащить пароль из кукисов   Найти похожие ветки 

 
alucard ©   (2006-10-30 08:49) [0]

Доброго времени суток.

Народ, я пароль забыл на сайт и ящик e-mail у меня закрыли,

но по кукисам ещё входит, как и где найти мой пароль?

Спасибо.


 
KilkennyCat ©   (2006-10-30 08:59) [1]

Зайти на сайт, предоставляющий почтовые услуги. Найти там линк "Я забыл пароль".


 
KilkennyCat ©   (2006-10-30 09:00) [2]

И еще наблюдается противоречие: закрыли и входит.


 
TurburatoR   (2006-10-30 09:32) [3]

В кукисах пароля нет: либо номер сессии, либо мега-хэш пароля


 
alucard ©   (2006-10-30 10:15) [4]

>В кукисах пароля нет: либо номер сессии, либо мега-хэш пароля

А где хранятся Хэш и номер сессии?


 
Плохиш ©   (2006-10-30 11:07) [5]


> alucard ©   (30.10.06 10:15) [4]
> >В кукисах пароля нет: либо номер сессии, либо мега-хэш
> пароля
>
> А где хранятся Хэш и номер сессии?

Надо почитать стандарт на кукисы. Если таковых не найдёшь, то надо у провайдера спросить, хде же он такой-сякой изволит пароли прятать. Если не ответит, то смело подавай на него в суд.


 
Anatoly Podgoretsky ©   (2006-10-30 11:09) [6]

>bА где хранятся Хэш и номер сессии?

В "кукисах"


 
Gero ©   (2006-10-30 11:15) [7]

> [4] alucard ©   (30.10.06 10:15)


> А где хранятся Хэш и номер сессии?

А зачем это тебе?


 
Anatoly Podgoretsky ©   (2006-10-30 11:42) [8]

> А зачем это тебе?

Надеется вытащить пароль из хеша


 
MeF Dei Corvi ©   (2006-10-30 11:42) [9]


> Зайти на сайт, предоставляющий почтовые услуги. Найти там
> линк "Я забыл пароль".

Насколько я понял человек забыл пароль на сайт и не может его получить по почте, так как её закрыли. А может просто хацкер :)
> А где хранятся Хэш и номер сессии?

"Кукисы" хранятся в разных местах в зависимости от браузера. Впрочем в Опере и ФФ кукисы можно посмотреть из браузера, в случае IE - Document and Settings/<YourName>/Cookies/ и там искать интерисующий сайт.
> либо номер сессии

Вряд ли номер сессии, так как сессия скорее всего уже давно закрылась бы.
> либо мега-хэш пароля

Получив хэш, можно попытаться его расшифровать. Тут уже в зависимости от сайта. Например, по хэшу от IPB1.3 можно почти наверняка сразу же узнать пароль, воспользовавшись базами md5 в интернете. От IPB2.1 по хэшу узнать пароль, практически невозможно, благо он там двойной и ещё с какими-то извращениями.


 
Anatoly Podgoretsky ©   (2006-10-30 11:45) [10]


> Например, по хэшу от IPB1.3 можно почти наверняка сразу
> же узнать пароль,

По хешу пароль узнать нельзя, можно получить бесконечное множество паролей из которых получится тот же хеш.


 
Anatoly Podgoretsky ©   (2006-10-30 11:45) [11]

Удалено модератором


 
Плохиш ©   (2006-10-30 11:54) [12]


> Anatoly Podgoretsky ©   (30.10.06 11:45) [11]
> Удалено модератором

Хм, самокритично :-))


 
palva ©   (2006-10-30 12:01) [13]

Вряд ли в кукисах хранится хэш. Там просто хранится информация, что такого-то можно пускать без пароля до такой-то даты.


 
Anatoly Podgoretsky ©   (2006-10-30 12:09) [14]


> Хм, самокритично :-))

Что ты понимаешь в самокритике, вот вчера я себя забанил, вот это была самокритика. Хорошо, что это была резервная система.


 
Anatoly Podgoretsky ©   (2006-10-30 12:11) [15]

palva ©   (30.10.06 12:01) [13]
По сути это тоже хеш, врядли там в открытом виде хранится.


 
KilkennyCat ©   (2006-10-30 12:12) [16]

Любая почтовая служба вполне может решить проблемы с забытыми паролями.
Иное монструозное решение навевает мысли о взломе.


 
alucard ©   (2006-10-30 12:14) [17]

А где хэш хранится?

Да это же всё на моём компьютере, какой я хакер - полный круглосуточный доступ к нему с правами админа,
я же не спрашиваю вас как получить доступ к удалённому компу в сети с правами админа и оттуда что-то выкачать,
если бы я мог это сделать то такого бы вопроса как в заголовке у меня бы не возникло.

Удалено модератором.


 
Плохиш ©   (2006-10-30 12:16) [18]

Вроде в [16] всё доступно сказано.


 
KilkennyCat ©   (2006-10-30 12:18) [19]

> [17] alucard ©   (30.10.06 12:14)

Взлом может быть не только на удаленном компьютере. А другого пользователя. Например, просмотреть ящик жены :)
P.S.
В последнее время меня просто заваливают просьбами на взлом почты своих вторых половин... Вроде, не весна :)


 
alucard ©   (2006-10-30 12:19) [20]


> Anatoly Podgoretsky ©   (30.10.06 11:42) [8]
> > А зачем это тебе?
>
> Надеется вытащить пароль из хеша

Надеюсь надеюсь.


 
Gero ©   (2006-10-30 12:22) [21]

> [20] alucard ©   (30.10.06 12:19)

Надейся. Надежда умирает последней, как известно.


 
alucard ©   (2006-10-30 12:28) [22]


> Gero ©   (30.10.06 12:22) [21]

В моём случае она не умрёт.


 
alucard ©   (2006-10-30 12:30) [23]

в папке Cookies ничего с именем пользователя нет.


 
Gero ©   (2006-10-30 12:32) [24]

> [22] alucard ©   (30.10.06 12:28)

Это хорошо. Она будет греть твое сердце.


 
KilkennyCat ©   (2006-10-30 12:37) [25]

> [24] Gero ©   (30.10.06 12:32)

и даже после смерти - ибо по условию, последней умрет :)


 
Gydvin ©   (2006-10-30 12:57) [26]

Что-то я непонял, если ты попадаешь на сайт по кукам, то вполне можешь зайти в свой профиль и там сменить пароль.


 
alucard ©   (2006-10-30 13:06) [27]

Пароль не хранится в кукисах.
В кукисах может хранится Хэш, который расшифровывается на сервере и преобразуется в пароль.

А где у меня хэш в этом файле user@www.ukr[1].txt:

passport_data
a%3A2%3A%7Bs%3A11%3A%22autologinid%22%3Bs%3A32%3A%22ec1d7681e495ec14ae69dc0cda311aea%22%3Bs%3A6%3A%22userid%22%3Bi%3A18315%3B%7D
ukr.net/
1536
1254617344
29891286
1758198848
29817862
*


 
alucard ©   (2006-10-30 13:08) [28]

И есть ещё один:

phpAds_geoInfo
UA%7C%7C%7C%7C%7C%7C%7C%7C%7C%7C%7C%7Cgeoip.1
www.ukr.net/
1024
2407345024
29817831
221245024
29817831
*


 
Gero ©   (2006-10-30 13:15) [29]

> [27] alucard ©   (30.10.06 13:06)


> Хэш, который расшифровывается на
> сервере и преобразуется в пароль.

Ты заблуждаешься.

> А где у меня хэш в этом файле

Примерно здесь:

> ec1d7681e495ec14ae69dc0cda311aea

Расшифровуй :D


 
Gydvin ©   (2006-10-30 13:20) [30]


> Пароль не хранится в кукисах.
> В кукисах может хранится Хэш, который расшифровывается на
> сервере и преобразуется в пароль.


Он там не расшифровывается, а сравнивается с хешем хранимого пароля


 
palva ©   (2006-10-30 13:21) [31]

> В кукисах может хранится Хэш, который расшифровывается на сервере и преобразуется в пароль.

1. Хэш нельзя рашифровать и превратить в пароль.

2. Зачем серверу нужен пароль? Для того чтобы взять от него хэш и сравнить с тем, который он хранит. Сервер не должен пускать пользователя по хэшу, а только по паролю. Потому что хэш можно украсть взломав сервер, а пароль - нельзя. Пароль можно украсть только в момент авторизации данного пользователя, хэши можно украсть в любой момент всем списком.

Это все я пишу к тому, что хэш не должен храниться в кукисах. Хотя сейчас в этом деле столько любительства, что все может быть.


 
Gero ©   (2006-10-30 13:21) [32]

> [30] Gydvin ©   (30.10.06 13:20)


> а сравнивается с хешем хранимого пароля

Просто с хешем пароля, сам пароль нигде не хранится.


 
Gydvin ©   (2006-10-30 13:23) [33]


> Просто с хешем пароля, сам пароль нигде не хранится.


Хорошо а как получают забытый пароль?


 
Рамиль ©   (2006-10-30 13:24) [34]


> Что-то я непонял, если ты попадаешь на сайт по кукам, то
> вполне можешь зайти в свой профиль и там сменить пароль.
>

Любая, уважающая себя и пользователей, система аутентификации сначала попросит ввести старый пароль:)


 
Gero ©   (2006-10-30 13:24) [35]

> [33] Gydvin ©   (30.10.06 13:23)

На нормальный ресурсах — никак. Его просто переустанавливают.


 
alucard ©   (2006-10-30 13:30) [36]

При помощи хэша мне получается можно залогиниться?
Только что-то я в этих файлах ненайду своего пользователя :)


 
palva ©   (2006-10-30 13:35) [37]

Нормальная система не должна восстанавливать забытый пароль. Она должна генерировать и высылать новый случайный пароль, с возможностью зайти на сайт и сменить его. Если сервер хранит пароли, то они должны быть зашифрованы, причем ключ должен вводиться человеком. Если пароль высылается автоматически в течение нескольких секунд, то это очень небезопасно. Кроме того, клиент будет знать, что администратору достаточно шепнуть своему приятелю пароль, и тот зайдет на сайт клиента из ближайшего интернет кафе.


 
saxon   (2006-10-30 13:37) [38]


> alucard ©   (30.10.06 13:30) [36]

autologinid ?


 
alucard ©   (2006-10-30 13:39) [39]

HTTP/1.0 200 OK
Date: Mon, 30 Oct 2006 10:25:08 GMT
Server: Apache/2.0.59 (Unix)
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Last-Modified: Mon, 30 Oct 2006 10:25:08 GMT
Set-Cookie: ukr-kuka=feca9b913ebbcbb6bfaf8b83627f1778; path=/
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: passport_data=s%3A0%3A%22%22%3B; expires=Tuesday, 30-Oct-07 10:25:08 GMT; path=/; domain=.ukr.net
Set-Cookie: passport_sid=3d59188cb51b071e2b580f9dd6e47f34; path=/; domain=.ukr.net
Set-Cookie: passport_data=s%3A0%3A%22%22%3B; expires=Tuesday, 30-Oct-07 10:25:08 GMT; path=/; domain=.mobil.ru
Set-Cookie: passport_sid=3d59188cb51b071e2b580f9dd6e47f34; path=/; domain=.mobil.ru
Set-Cookie: redirect=http%3A%2F%2Fwww.stereo.ru%2F; path=/; domain=.ukr.net
Set-Cookie: check_cookies=1; expires=Monday, 30-Oct-06 11:25:08 GMT; path=/; domain=.ukr.net
Connection: close
Content-Type: text/html


 
alucard ©   (2006-10-30 13:47) [40]


> palva ©   (30.10.06 13:35) [37]

У меня ящик который указан как основной спёрли, я могу сделать высылку туда пароля но его не прочитаю, а для изменения ящика нужен пароль.

Мне просто интересно теперь какой здесь SQL сервак это всё хранит.



Страницы: 1 2 3 вся ветка

Форум: "Прочее";
Текущий архив: 2006.11.19;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.54 MB
Время: 0.048 c
2-1162197366
Piero
2006-10-30 11:36
2006.11.19
TDBLookUpComboBox


15-1162310042
Cyrax
2006-10-31 18:54
2006.11.19
Кодинг COM-порта на Win32API


15-1162213955
Gadenysh
2006-10-30 16:12
2006.11.19
отсортировать объявления методов


2-1162466056
Dmitry_177
2006-11-02 14:14
2006.11.19
Перевод типов на API


4-1150256660
xex32
2006-06-14 07:44
2006.11.19
Как принять штрих код со сканера в TEdit





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский