Just nu i M3-nätverket
Gå till innehåll
Eforum är stängt för nya inlägg och svar sedan 20 juni 2022. Klicka för att läsa vad som hände och om alternativ.

Falsk cookie - hur göra?

Stefan Eklinder

Startad av Stefan Eklinder,
i Säkerhet - övrigt

Rekommendera Poster

Stefan Eklinder

Stefan Eklinder

Postad
Postad

Mycket har vi läst, men hur bär folk sig åt för att skapa en falsk cookie?

 

http://www.idg.se/2.1085/1.676057/yahoo-falska-cookies

 

Det måste vara enklare (utan att veta hur göra) än att sitta och gissa lösenord, SQL-injektioner, bruteforceattacker etc för att ta sig in på olika epostkonton och liknande.

 

Spar på "arbetstid" för dom cyberkriminella. 

 

Tack för alla reflektioner på förhand! :-D

 

Nä, jag har inga onda avsikter med frågan. 

Länk till kommentar
Dela på andra webbplatser
.M

.M

Postad
Postad

När du loggar in på i stort sett vilken sajt som helst som har inloggning så brukar du få se en kryssruta som heter något i stil med Kom ihåg mig. När du kryssar denna så behöver du inte ange användarnamn och lösenord nästa gång du loggar in. Anledningen är att sajten sparar en kaka på din dator som den läser nästa gång du kommer in.

 

Exakt vad denna kaka innehåller varierar från sajt till sajt. Men ponera att man helt enkelt skapar en slumpmässig rad med bokstäver och siffror, sen sparar du motsvarande i sajtens databas. När du besöker sajten nästa gång så slår sajten upp kakan ur databasen och släpper in dig då den hittade dessa bokstäver och siffror. Det är inte en jättebra lösning, för varje dator och enhet du använder för att logga in så skapas det en ny post i databasen vilket ökar risken att någon kan gissa sig till kakan.

 

En bättre lösning är kanske att skapa en hash av användarnamn + lösenord, spara detta i sajtens databas, nästa gång du besöker sajten så slår man upp denna i databasen och släpper in dig. Det är nog bättre, men inte bra då en hash är visserligen svår att vända tillbaka för att få fram användarnamn + lösenord så är den enkel att duplicera. Plus att det är naturligtvis en jätterisk att använda besökarens lösenord i cookien, även om det är en hash av den.

 

Vi vet inte vilken metod Yahoo använder för sina cookies, men ponera att någon skapat några hundra eller tusentals Yahoo-konton, gått igenom och analyserat kakorna som skapats och upptäckt att det kanske är så enkelt att dom bara sparar användarnamn i en hash. Då är det jätteenkelt att skapa falska kakor. Men tittar bara på e-postadressen man vill bryta sig in i skapar en hash av den som man sparar i sin webbläsare, sen är det bara att surfa in utan hinder.

 

Så, nej, det måste inte vara enklare att gissa sig till lösenord, för det kan vara en riktig tankevurpa i skapandet av dessa kakor som gör det rätt trivialt att skapa falska sådana.

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

Gå till ämneslista


×
×
  • Skapa nytt...