LINUX.ORG.RU

Трояна ему пошли, делов-то.

Zhbert ★★★★★ ()

Безопасно ли на сайте хранить логин и пароль в куках?

Советую включить логику.

Если я знаю такой сайт то как мне угнать логин пароль у другого пользователя такого сайта?

Элементарно прочитать куку и передать ее содержимое к себе.

А зачем хранить пароль в plain text? Что, какой-нибудь временный ключ хранить не вариант?

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Eddy_Em

Ну ха-ха вариант наверное вариант. Но так же проще.

mio ★★ ()
Ответ на: комментарий от Eddy_Em

Просто знаю один интерпрайз портал документооборотов в гос. конторе где так и сделано.

mio ★★ ()
Ответ на: комментарий от mio

Ну ха-ха вариант наверное вариант.

Чего? Три раза пытался прочитать, так и не понял фразы.

Zhbert ★★★★★ ()
Ответ на: комментарий от mio

Ну в принципе то нормально. Если нет доступа к компу то и куки хрен возьмешь. А если есть то можно уж сразу все забрать - не только куки.

mio ★★ ()

нет, не безопасно. естественно, достаточно угнать куки.

val-amart ★★★★★ ()
Ответ на: комментарий от val-amart

Мне важно понять что куки угнать существенно проще чем получить полный доступ или нет?

mio ★★ ()
Ответ на: комментарий от mio

Не верно, куки можно украсть с XSS. Или траффик пронюхать если не защищён.

Kalashnikov ★★★ ()
Ответ на: комментарий от mio

ты понял что сказал? что значит «проще чем получить полный доступ»? полный доступ куда и как?

val-amart ★★★★★ ()
Ответ на: комментарий от val-amart

На машину конечного пользователя разумеется. Просто выше был вариант с трояном, а это фактически полный доступ и есть.

mio ★★ ()
Ответ на: комментарий от mio

Угнать куки очень просто, и к компьютеру доступ не нужен.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от val-amart

val-amart

нет, не безопасно. естественно, достаточно угнать куки.

в куке может быть только мутный ключ вида 74dd481d5d8356d3512d4a47c6428585 который зависит от IP и от времени. Потому «просто угнать куку» не получится, нужно ещё и подделать IP, и воспользоваться этой кукой достаточно быстро.

drBatty ★★ ()
Ответ на: комментарий от mio

mio

Мне важно понять что куки угнать существенно проще чем получить полный доступ или нет?

куку можно угнать намного проще, достаточно заломать браузер (что вообще говоря не сложно).

Кроме того, если вы сохраните в куке логин с паролем, то злоумышленнику можно будет годами юзать этот логин и пароль. А вот украв куку с каким-то мутным ключом ему придётся срочно менять пароль, что естественно сразу будет замечено легитимным юзером. Ну или он получит доступ на ограниченное время. Это всё-же лучше чем логин с паролем.

drBatty ★★ ()

Безопасно ли на сайте хранить логин и пароль в куках? Если я знаю такой сайт то как мне угнать логин пароль у другого пользователя такого сайта?

man xss

VirRaa ★★★ ()

Безопасно ли хранить логин и пароль в куках?

Да на 127.0.0.1

hira_saka ()

Не очень нормально. Чтобы угнать тебе надо как то воздействовать на другого пользователя, смотря какие у тебя есть средства для этого. Если найдёшь javascript injection, можешь составить такой javascript, чтобы он обращался к твоему серверу и передавал туда этот логин и пароль (javascript, естественно, появиться на этом сайте).

Legioner ★★★★★ ()
Ответ на: комментарий от Eddy_Em

Очень просто это как? Угони у меня куки с лора.

Legioner ★★★★★ ()
Ответ на: комментарий от Legioner

Для этого нужно будет загнать тебя на какой-нибудь свой сайтик, который и сопрет твои куки. Тебя-то (особенно учитывая то, что ты вряд ли будешь слепо тыкать «разрешить XSS») на мякине не разведешь, а вот «обычному» юзеру вполне можно скинуть ссылочку, мол, посмотри на сайтец - тот зайдет, разрешит, не читая предупреждения, XSS и считай добровольно отдаст свои куки.

А не было бы таких простаков, не было бы и всяких блокираторов экрана. Да и мастдая бы не было...

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Eddy_Em

тот зайдет, разрешит, ...

бред. ты хоть знаешь как работают куки?

anonymous ()
Ответ на: комментарий от drBatty

куку можно угнать намного проще, достаточно заломать браузер (что вообще говоря не сложно).

Наверное, тебе Google деньги вагонами отправляет, раз для тебя заломать браузер легко.

anonymous ()
Ответ на: комментарий от anonymous

Конечно. Сам занимался изготовлением модуля аутентификации/авторизации через куки: при нажатии «кнопочки» «войти» пользователь перенаправляется на https-формочку с логином/паролем. Если вводит правильно, браузер сохраняет не-https куку с идентификатором и ключом, которые выдает сервер (занося их себе в БД). Затем пользователь перенаправляется обратно и в дальнейшем эта самая кука используется для авторизации.

И если никто не мешает записать «чужую» куку, кто помешает ее прочесть?

// хотя, вполне возможно, что я говорю чушь, как обычно

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Eddy_Em

Загоняй, тыкну по любой ссылке. Или хотя бы принцип опиши. W7 & Google Chrome щас запущены, вполне типичный набор. Кроме использования 0-day уязвимости, которые на дороге не валяются и вообще не факт, что доступны.

Нужна именно возможность вставить произвольный Javascript на странице сайта, которую потом откроет атакуемый пользователь. В принципе учитывая описание я охотно верю, что на том сайте такая возможность есть. Но сами по себе куки - вполне защищённый механизм.

Legioner ★★★★★ ()
Ответ на: комментарий от Eddy_Em

По умолчанию для одного и того же сайта http и https куки одинаковы, т.е. можно установить в https и потом читать из http. Сервер может пометить куку как secure, тогда она будет доступна только через https.

Legioner ★★★★★ ()
Ответ на: комментарий от Eddy_Em

И если никто не мешает записать «чужую» куку, кто помешает ее прочесть?

Чтобы прочесть куку с сайта, тебе надо
1) найти уязвимость в сайте.
2) внедрить туда зловредный код.
3) «сниффером» читать/запоминать куки.

Т.е. алгоритм на порядок сложнее того, что ты говорил комментом ранее. (про «подтвердить XSS»)

anonymous ()
Ответ на: комментарий от anonymous

Вот же черт! Просто так document.domain не сменишь. Но как-то ведь работают сервисы междоменных куки у всяких лицокниг!?

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Eddy_Em

Про facebook не знаю, я его не юзаю.
Если используешь Google, то можешь сейчас попробовать авторизоваться. Увидишь, что c accounts.google.com/... тебя на секунду перебросит на youtube.com, оттуда обратно на google.com.

Т.е. когда ты входишь в Google, чтобы ты был авторизован и в youtube.com, тебя Google туда перенаправляет на спец. страницу, и у твоего браузера есть кука от youtube.

anonymous ()
Ответ на: комментарий от anonymous

Кстати, а у facebook-a разве не один домен и много субдоменов? Если так, то можно куку установить для *.example.com. Т.е. для всех субдоменов.

anonymous ()
Ответ на: комментарий от anonymous

Спасибо за разъяснение.

Но все-таки, хранить plain-text'ом пароль и логин в куках небезопасно еще и с той точки зрения, что любой, имеющий доступ к вашему компьютеру (возможно, еще и к вашему логину - ну или если пароль рута есть) узнает и пароль, и логин.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от anonymous

Точно: там доменом ".facebook.com" и стоит. А кук - целая куча.

Eddy_Em ☆☆☆☆☆ ()
Ответ на: комментарий от Eddy_Em

Имхо в первую очередь небезопасно, потому что всякие инъекции вещь весьма распространённая и лучше планировать систему с предположением, что на сайте есть уязвимости и сразу стараться минимизировать урон при возможной атаке. По той же причине лучше в базе хранить солёные хеши, чем прямые пароли.

Legioner ★★★★★ ()
Ответ на: комментарий от anonymous

не самая сложная задача для среднестатистического сайта, не претендующего на защищенность. webscarab, iframe и страничка на укозе, куда все это будет сливаться.

vostrik ★★★☆ ()
Ответ на: комментарий от anonymous

anonymous

Наверное, тебе Google деньги вагонами отправляет, раз для тебя заломать браузер легко.

думаешь мало в Сети заломаных браузеров? Я их не собираюсь ломать - если ты научишься читать, ты узнаешь, что я просто считаю клиентские браузеры слишком ненадёжным хранилищем для логина и пароля в куке. Да и даже если там нет логина и пароля(кстати, а нафига они там?), то саму куку необходимо ограничивать в правах как можно сильнее, что-бы (в идеале), только этот юзер мог ею воспользоваться.

drBatty ★★ ()
Ответ на: комментарий от drBatty

думаешь мало в Сети заломаных браузеров?

думаешь мало в Африке некормленных детей? Но ведь к треду это не имеет никакого отношения.

Я их не собираюсь ломать

Потому что не можешь или потому что мама и папа не разрешают? Это ведь так Л Е Г К О !

саму куку необходимо ограничивать в правах как можно сильнее

Что то вроде гендерной дискриминации?

__

Кстати, если хочешь чтобя тебя перестали считать пустословом, то напиши один (_простой_) sql запрос в тред дариса.

anonymous ()
Ответ на: комментарий от Eddy_Em

И если никто не мешает записать «чужую» куку, кто помешает ее прочесть?

Если делать важные cookies (например, используемые для авторизации) http-only, то при наличии правильного браузера у пользователя спереть такие печеньки через JavaScript будет не очень тривиально.

sjinks ★★★ ()
Ответ на: комментарий от anonymous

anonymous

думаешь мало в Сети заломаных браузеров?

думаешь мало в Африке некормленных детей? Но ведь к треду это не имеет никакого отношения.

перечитай первый пост.
Если ты не осилил, то я процитирую:

Безопасно ли на сайте хранить логин и пароль в куках?

Если ты не знал, кука хранится в браузере. Т.к. браузер большинства клиентов == ненадёжное хранилище, то и хранить там логин/пароль ненадёжно. Например в ФФ кука лежит в таблице moz_cookies, в файле cookies.sqlite, и лежит эта кука в открытом виде:

CREATE TABLE moz_cookies (id INTEGER PRIMARY KEY, name TEXT, value TEXT, host TEXT, path TEXT,expiry INTEGER, lastAccessed INTEGER, isSecure INTEGER, isHttpOnly INTEGER, baseDomain TEXT, creationTime INTEGER)
можешь сам посмотреть, если не веришь.

А пароль во первых можно и не сохранять, и даже если он сохранён в браузере, то хранится он хоть как-то зашифрованным.

Потому что не можешь или потому что мама и папа не разрешают? Это ведь так Л Е Г К О !

успокойся, и вернись к домашнему заданию. Твой браузер я не сломаю. Ты мне нафиг не нужен, вместе со своими куками. Вопрос у нас совсем про другое.

Что то вроде гендерной дискриминации?

В твоём возрасте, Михаил, надо меньше дро^Wсидеть за компьютером, и больше заниматься спортом. Оно полезнее, чем новые мудрёные словечки.

drBatty ★★ ()
Ответ на: комментарий от drBatty

Если в том, воображаемом мире, в котором ты живешь — я до сих пор школьник, это не отменит того факта, что ты, дружок, не отвечаешь за свои слова.

Если ты не заметил, то я нигде не говорил, что пароли надо хранить в куках или еще где. Собственно я вообще не говорил где их стоит хранить, а где нет.

Единственное к чему я придрался — это к твоим словам, что браузер легко взломать. А ты в ответ начал неведомую пляску. Зачем?

Так вот, дружок, приблизительно в той же sql-таблице, что ты привел, хранятся состояние счетов крупных финансовых институтов. Но это никак не помогает кулхакерам получить к ним доступ.

Открою тебе тайну — сегодня не 2002 год и доля IE 5.0 как никак низка. Это значит, что получить доступ к жесткому диску удаленного пользователя, чтобы оттуда извлечь куку — очень сложно. Задачу усложняет еще и то, что Google платит огромные суммы за баги.

Внезапно, если в руках злоумышленника есть 0day уязвимость, которая позволит ему получить доступ к HDD, а значит и исполнить произвольный код на удаленной системе — то он вряд ли будет баловаться воровством кук (их он укадет через XSS), а сделает кое-что намного опаснее и хуже.

anonymous ()
Ответ на: комментарий от anonymous

anonymous

Если в том, воображаемом мире, в котором ты живешь — я до сих пор школьник, это не отменит того факта, что ты, дружок, не отвечаешь за свои слова.

Круто! А ты, анон, за что отвечаешь? Если даже ником подписываться не желаешь?

anonymous

Единственное к чему я придрался — это к твоим словам, что браузер легко взломать. А ты в ответ начал неведомую пляску. Зачем?

ты не в теме. вот почитай последние новости: http://www.opennet.ru/opennews/art.shtml?num=33521

В последнее время браузерный Java-плагин становится одной из основных целей атак вредоносного ПО на пользовательские системы. По данным Oracle Java используется более чем на 3 миллиардах систем, при этом исследователи безопасности из компании Rapid7 пришли к неутешительному выводу - на 60-80 процентах компьютеров используются устаревшие версии Java, в которых содержатся критические уязвимости.

В течение месяца после выхода очередного обновления Java на него переходят только около 10% пользователей, по истечение двух месяцев число обновивших Java пользователей достигает 20%, а спустя три месяца - 30%. Более того, несмотря на то, что последнее обновление Java вышло полтора месяца назад, пользователи Java-пакета для Mac OS X по прежнему не получили исправлений безопасности и вынуждены пользоваться заведомо уязвимым продуктом.

и это только Java. А сколько ещё дырявых плагинов? А сколько устаревших дырявых браузеров?

anonymous

Так вот, дружок, приблизительно в той же sql-таблице, что ты привел, хранятся состояние счетов крупных финансовых институтов. Но это никак не помогает кулхакерам получить к ним доступ.

Речь не про таблицу, а про то, ГДЕ эта таблица расположена. Научись хотя-бы читать для начала. Впрочем, точное расположение и структура таблицы тебе всё равно не поможет, для такого школьника как ты, получить к ней доступ всё равно, что получить доступ к «крупному финансовому институту». Потому твои куки надёжно защищены. От тебя.

anonymous

Открою тебе тайну — сегодня не 2002 год и доля IE 5.0 как никак низка. Это значит, что получить доступ к жесткому диску удаленного пользователя, чтобы оттуда извлечь куку — очень сложно. Задачу усложняет еще и то, что Google платит огромные суммы за баги.

да. А мужики-то не знали...

Подобным халатным отношением активно пользуются создатели различных типов вредоносного ПО. Добавление эксплоитов против Java в пакет BlackHole, привело к росту числа поражающих Java вредоносных программ. В частности, новая версия Flashback, вредоносного ПО, поражающего системы Mac OS X, уже содержит код для проникновения на системы пользователей через неисправленную уязвимость в Java-пакете, поддерживаемом компанией Apple.

кстати, новость 2012го, а не 2002го года. А про IE5 никто и не говорил (ну кроме тебя, конечно. Что символизирует.)

anonymous

Внезапно, если в руках злоумышленника есть 0day уязвимость, которая позволит ему получить доступ к HDD, а значит и исполнить произвольный код на удаленной системе — то он вряд ли будет баловаться воровством кук (их он укадет через XSS), а сделает кое-что намного опаснее и хуже.

не бойся. с тобой никто ничего не сделает. во всяком случае, через твой браузер. Т.ч. совет заниматься спортом остаётся в силе :-)

drBatty ★★ ()
Ответ на: комментарий от drBatty

Мне кажется, что у тебя серьезные повреждения мозга, раз ты не можешь вести диалог конструктивно и все время пытаешься устроить клоунаду.

От меня в этом треде было два тезиса: 1) Взломать браузер сложно. 2) Когда его взломывают, на куки всем пофиг, так как получают практически польноценный доступ к вводу-выводу удаленного пользователя, что намного ценнее чем какие-то там куки.

Ссылки, что ты привел весьма интересны.

«исследователи безопасности из компании Rapid7 пришли к неутешительному выводу - на 60-80 процентах компьютеров используются устаревшие версии Java»

в оригинале это место звучит так:

«Looking long term, upwards of 60% of Java installations are never up to the current patch level.»

А теперь очень внимательно прочти фразу на ангельском и подумай что она значит.

anonymous ()
Ответ на: комментарий от anonymous

anonymous

От меня в этом треде было два тезиса: 1) Взломать браузер сложно. 2) Когда его взломывают, на куки всем пофиг, так как получают практически польноценный доступ к вводу-выводу удаленного пользователя, что намного ценнее чем какие-то там куки.

1) и тем не менее, полно случаев, когда разная зараза угоняет из браузеров разнообразную информацию. В том числе и куки, хотя толку от них мало (ну мало кто там хранит что-то ценное и долговечное, вроде логина и пароля. Мне такие сайты не известны.)
2) «взломать браузер» вовсе не обязательно означает «получить доступ к файловой системе». Можно взломать например кривой плагин, который сам доступа к ФС не имеет, однако имеет доступ к внутренней информации браузера. К тем же кукам например.

anonymous

в оригинале это место звучит так:

«Looking long term, upwards of 60% of Java installations are never up to the current patch level.»

А теперь очень внимательно прочти фразу на ангельском и подумай что она значит.

это значит, что ты выдрал из контекста кусок, да ещё и не тот. И ты это знаешь. :-)

В любом случае, доказывать, что все юзают неуязвимые браузеры в неуязвимых ОС, по меньшей мере глупо. Так же глупо, как рассчитывать на то, что все юзают пароли типа 9ua8+luQR, следят за новостями, и регулярно всё обновляют. На самом деле, так делают только 0.01% параноиков. А у остальных РЕШЕТО, и им на это пофиг. Добро пожаловать IRL, Нео...

drBatty ★★ ()
Ответ на: комментарий от drBatty

по пункту 1: ты просто повторил мои слова.

по пункту 2: бред. посмотри на каком-нибудь сайте статистику по уязвимостям в плагинах и что ими можно делать.

У тебя вообще мысли путаются. То у всех браузер легко сломать, то ВДРУГ не у всех и не так легко. А если бы ты понял фразу на английском, то до тебя бы дошло, что не все баги в плагинах приводят к утечке инфы, может там просто float неправильно парсится, да мало ли какие баги есть.

Ну-ка давай, выдай очередную порцию бреда.

anonymous ()
Ответ на: комментарий от anonymous

anonymous

Ну-ка давай, выдай очередную порцию бреда.

да я ещё твой не распарсил:
1. у меня не стоит цели ломать чей-то браузер. Цель - минимизировать ущерб, даже если браузер сломан. ВНЕЗАПНО - это угроза вполне реальна. Хотя ты можешь тешить себя надеждой, что браузеры _твоих_ клиентов надёжно защищены, и в куках хранить их логин/пароль. Можешь даже свой, я не против.
2. зачем сразу «посмотри», ссылку дай на «какой-нить сайт».

anonymous

У тебя вообще мысли путаются.

тебе легче - у тебя никаких мыслей нет, только демагогия.

drBatty ★★ ()
Ответ на: комментарий от drBatty

Бладж, ну сколько можно.

Мне пофиг где ты хранишь пароли. Мне на это плевать.

Еще раз я цитирую тебя:
достаточно заломать браузер (что вообще говоря не сложно).

Так вот, если ты не пустослов - то сломай мой браузер. ТЕБЕ ЖЕ НЕ СЛОЖНО. У меня сейчас в системе:

1. Opera
2. Firefox
3. Google-Chrome

дай мне линк куда я зайду, чтобы ты заломал мой браузер. (Я систему не обновлял около года и джава и флеш в системе у меня есть).

Ты, кстати, в свою очередь, разбрасываешься ярлыками и разводишь демагогию, а это уж точно явный признак сетевого пустослова.

Сможешь доказать обратное? Действуй!

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.