Форум: "Прочее";
Текущий архив: 2006.11.19;
Скачать: [xml.tar.bz2];
Вниз
Как вытащить пароль из кукисов Найти похожие ветки
← →
alucard © (2006-10-30 13:47) [40]
> palva © (30.10.06 13:35) [37]
У меня ящик который указан как основной спёрли, я могу сделать высылку туда пароля но его не прочитаю, а для изменения ящика нужен пароль.
Мне просто интересно теперь какой здесь SQL сервак это всё хранит.
← →
Gero © (2006-10-30 13:47) [41]> [39] alucard © (30.10.06 13:39)
Зачем нам это?
← →
Gero © (2006-10-30 13:48) [42]> [37] palva © (30.10.06 13:35)
> Кроме того, клиент будет знать, что администратору достаточно
> шепнуть своему приятелю пароль, и тот зайдет на сайт клиента
> из ближайшего интернет кафе.
Основная проблема не в этом, а том, что пользватели используют одни и те же пароли на разных ресурсах.
← →
Gydvin © (2006-10-30 13:49) [43]
> Любая, уважающая себя и пользователей, система аутентификации
> сначала попросит ввести старый пароль:)
да это я упустил из внимания :(
> На нормальный ресурсах — никак.
На нормальных да, а многие высылают пароль и следовательно его хранят
← →
alucard © (2006-10-30 13:51) [44]
> Gero © (30.10.06 13:47) [41]
Чтоб узнать по какому алгоритму этот хэш преобразовывать, для неизвестно чего, но я знаю что в итоге можно получить пароль.
← →
Alien1769 © (2006-10-30 13:57) [45]
> У меня ящик который указан как основной спёрли, я могу сделать
> высылку туда пароля но его не прочитаю, а для изменения
> ящика нужен пароль.
Не грузи. На укрнете есть вопрос подсказка, если ты его конечно знаешь. Я сам сижу на укрнете. Так вот если твой ящик, то енто не проблема.
← →
alucard © (2006-10-30 13:57) [46]Заходите на Google.ru,
вводите "вычисление хэшей" и поиск.
← →
palva © (2006-10-30 13:57) [47]> Основная проблема не в этом, а том, что пользватели используют одни и те же пароли на разных ресурсах.
А-а, понятно. В самом деле.
> Чтоб узнать по какому алгоритму этот хэш преобразовывать, для неизвестно чего, но я знаю что в итоге можно получить пароль.
Если вы узнаете пароль по хэшу, то алгоритм хэширования никуда не годится. И надо срочно писать сообщение в серьезный журнал о случае взлома алгоритма, чтобы этим алгоритмом больше никто не пользовался.
← →
alucard © (2006-10-30 14:01) [48]
> Alien1769 © (30.10.06 13:57) [45]
я не на укр нете, я поменял сайт чтоб не вычислили кто-то перед мной.
← →
Gero © (2006-10-30 14:02) [49]> [44] alucard © (30.10.06 13:51)
Из хеша пароль получить невозможно. Еще есть вопросы?
← →
alucard © (2006-10-30 14:11) [50]
> Gero © (30.10.06 14:02) [49]
>Из хеша пароль получить невозможно.
согласен
>Еще есть вопросы?
Да.
Где здесь запрос сервера?
он гдето здесь(alucard © (30.10.06 13:06) [27], alucard © (30.10.06 13:39) [39] )
Можно посчитать PwDump и Sniff.
← →
Gero © (2006-10-30 14:14) [51]> он гдето здесь(alucard © (30.10.06 13:06) [27], alucard © (30.10.06 13:39) [39] )
Да, он здесь: alucard © (30.10.06 13:39) [39]
← →
palva © (2006-10-30 14:14) [52]Перебором если. Паролей типа cat vova, dot.
← →
McSimm © (2006-10-30 14:15) [53]
> Народ, я пароль забыл на сайт и ящик e-mail у меня закрыли,
> но по кукисам ещё входит, как и где найти мой пароль?
На этот сайт ?
← →
KilkennyCat © (2006-10-30 14:23) [54]> [53] McSimm © (30.10.06 14:15)
Зачот :))
← →
alucard © (2006-10-30 14:31) [55]Gero © (30.10.06 14:14) [51]
Вот это
Set-Cookie: ukr-kuka=feca9b913ebbcbb6bfaf8b83627f1778; path=/
?
← →
Gero © (2006-10-30 14:34) [56]> [55] alucard © (30.10.06 14:31)
Ага.
← →
alucard © (2006-10-30 14:39) [57]Gero © (30.10.06 14:34) [56]
Что в моём случае посоветуешь делать?
Заходить по хэшу?
← →
Gero © (2006-10-30 14:57) [58]> [57] alucard © (30.10.06 14:39)
См. [1].
← →
MeF Dei Corvi © (2006-10-30 15:09) [59]Удалено модератором
← →
KilkennyCat © (2006-10-30 15:24) [60]> [59] MeF Dei Corvi © (30.10.06 15:09)
Идентичный хэш - это здорово. Да вот есть у меня подозрения, что она немножко однократна, эта идентичность :)))))
← →
alucard © (2006-10-30 16:01) [61]Gero © (30.10.06 14:57) [58]
я не забыл пароль, я его и не знал. Когда ящик был - тогда я воспользовался восстановлением и с почты его скопировал в поле Password, почты уже нет!
MeF Dei Corvi © (30.10.06 15:09) [59]
Удалено модератором
Что там модератор вечно удаляет?
Если сейчас заходит, неужели нет варианта узнать как и продублировать это в случае очистки кукисов?
Думаю что есть.
KilkennyCat © (30.10.06 15:24) [60]
Что однократно, я уже месяц никакого пароля не вхожу.
Пароль вычислить по хэшу можно, люди умудрялись,
вопрос только как?
← →
Игорь Шевченко © (2006-10-30 16:14) [62]
> Пароль вычислить по хэшу можно, люди умудрялись,
> вопрос только как?
здесь - никак.
← →
MeF Dei Corvi © (2006-10-30 16:18) [63]
> Что там модератор вечно удаляет?
Ссылки вестимо :) Не знаю зачем, т.к. ссылки взяты с http://ru.wikipedia.org/wiki/MD5
← →
Anatoly Podgoretsky © (2006-10-30 16:20) [64]
> Что там модератор вечно удаляет?
Он доудаляется!
← →
KilkennyCat © (2006-10-30 16:25) [65]> [61] alucard © (30.10.06 16:01)
Люди иногда умудряются попасть пальцем в небо. Но чаще - в другое место.
Как Вы до сих пор не поймете, что если из хэша можно вытащить пароль, то получается хэш просто-напросто пароль и есть? Только кодированный. Но тогда какой смысл в хэше? Оригинальная замена ***** ? Не кажется ли это глупым? И если кажется, то не стоит ли прийти к выводу о недостаточности информации? Почитать литературу? И уяснить трудоемкость задачи? И прийти к выводу, что проще узнать домашний адрес администратора почты, приехать к нему лично, предварительно смотавшись на другой полушар земли за экзотической бутылкой пива?
← →
Anatoly Podgoretsky © (2006-10-30 16:31) [66]
> И прийти к выводу, что проще узнать домашний адрес администратора
> почты, приехать к нему лично, предварительно смотавшись
> на другой полушар земли за экзотической бутылкой пива?
По крайней мере дешевле.
← →
MeF Dei Corvi © (2006-10-30 16:55) [67]
> По крайней мере дешевле.
Быстрее :)
> Как Вы до сих пор не поймете, что если из хэша можно вытащить
> пароль, то получается хэш просто-напросто пароль и есть?
Можно же ведь брутфорсом попытаться получить пароль, но сколько минут/часов/дней/месяцев/лет это займёт не известно. К тому же, если учесть, что искомый пароль действительно принадлежит автору, то я думаю, он знает из каких приблизительно символов состоит пароль и какой он длины.
← →
KilkennyCat © (2006-10-30 17:04) [68]> [67] MeF Dei Corvi © (30.10.06 16:55)
C Вашей же ссылки в вики
Криптографическая хеш-функция должна обеспечивать:
стойкость к коллизиям (два различных набора данных должны иметь различные результаты преобразования)
необратимость (невозможность вычислить исходные данные по результату преобразования)
← →
Игорь Шевченко © (2006-10-30 17:09) [69]KilkennyCat © (30.10.06 17:04) [68]
А начинающие, они верят, что яйцеголовые витают в облаках своей математики, и страшно далеки от народа. А народ, вооруженный посконной мудростью, запросто вычисляет пароли по хэшу, нужно только слово знать. Вот они слово и ищут. Или цветок папоротника - с цветком каждый дурак и без хэша пароль подберет.
← →
Vga © (2006-10-30 17:16) [70]В хэшах тоже уязвимости находят... Насколько мне известно, в довольно популярных MD5 и SHA-1 уже нашли.
← →
KilkennyCat © (2006-10-30 17:23) [71]> [69] Игорь Шевченко © (30.10.06 17:09)
Я бы с цветком папоротника лучше б клад нашел. Зачем сложные промежуточные этапы? :)
← →
Reindeer Moss Eater © (2006-10-30 17:31) [72]Криптографическая хеш-функция должна обеспечивать:
стойкость к коллизиям (два различных набора данных должны иметь различные результаты преобразования)
необратимость (невозможность вычислить исходные данные по результату преобразования)
Должна, но не обеспечивает.
В силу фиксированной длины хеш значения.
Паролей бесконечно много и у каждого можно вычислить хеш.
Но хеш значений не бесконечно много.
← →
palva © (2006-10-30 17:55) [73]Да и не лежит парольного хэша в кукисах - смысла нет.
← →
Anatoly Podgoretsky © (2006-10-30 19:28) [74]> MeF Dei Corvi (30.10.2006 16:55) [67]
Сколько можно говорить, как получить то, чего нет?
← →
MeF Dei Corvi © (2006-10-30 21:09) [75]
> Сколько можно говорить, как получить то, чего нет?
Почему нет?
← →
Gero © (2006-10-30 22:17) [76]> [75] MeF Dei Corvi © (30.10.06 21:09)
Потому что нет.
← →
alucard © (2006-10-31 09:03) [77]
> MeF Dei Corvi © (30.10.06 16:55) [67]
Знаю первую букву, что всего из 6 символов, пароль не сложный.
> palva © (30.10.06 17:55) [73]
А что тогда в кукисах лежит?
← →
alucard © (2006-10-31 09:10) [78]Ссылки чтоб модератор не удалял плиз бросайте мне на ящик.
Надо что-то придумать чтоб по Автологину он у меня заходил, пока ещё впускает.
Как перенести на другой комп и какие файлы, или это невозможно?
← →
alucard © (2006-10-31 09:43) [79]А как узнать алгоритм хэширования?
← →
Anatoly Podgoretsky © (2006-10-31 09:51) [80]> alucard (31.10.2006 09:43:19) [79]
> А как узнать алгоритм хэширования?
Алгоритмы хеширования опубликованы в Сети
Страницы: 1 2 3 вся ветка
Форум: "Прочее";
Текущий архив: 2006.11.19;
Скачать: [xml.tar.bz2];
Память: 0.61 MB
Время: 0.043 c
