Just nu i M3-nätverket
Gå till innehåll
Stefan Eklinder

Falsk cookie - hur göra?

Rekommendera Poster

Mycket har vi läst, men hur bär folk sig åt för att skapa en falsk cookie?

 

http://www.idg.se/2.1085/1.676057/yahoo-falska-cookies

 

Det måste vara enklare (utan att veta hur göra) än att sitta och gissa lösenord, SQL-injektioner, bruteforceattacker etc för att ta sig in på olika epostkonton och liknande.

 

Spar på "arbetstid" för dom cyberkriminella. 

 

Tack för alla reflektioner på förhand! :-D

 

Nä, jag har inga onda avsikter med frågan. 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

När du loggar in på i stort sett vilken sajt som helst som har inloggning så brukar du få se en kryssruta som heter något i stil med Kom ihåg mig. När du kryssar denna så behöver du inte ange användarnamn och lösenord nästa gång du loggar in. Anledningen är att sajten sparar en kaka på din dator som den läser nästa gång du kommer in.

 

Exakt vad denna kaka innehåller varierar från sajt till sajt. Men ponera att man helt enkelt skapar en slumpmässig rad med bokstäver och siffror, sen sparar du motsvarande i sajtens databas. När du besöker sajten nästa gång så slår sajten upp kakan ur databasen och släpper in dig då den hittade dessa bokstäver och siffror. Det är inte en jättebra lösning, för varje dator och enhet du använder för att logga in så skapas det en ny post i databasen vilket ökar risken att någon kan gissa sig till kakan.

 

En bättre lösning är kanske att skapa en hash av användarnamn + lösenord, spara detta i sajtens databas, nästa gång du besöker sajten så slår man upp denna i databasen och släpper in dig. Det är nog bättre, men inte bra då en hash är visserligen svår att vända tillbaka för att få fram användarnamn + lösenord så är den enkel att duplicera. Plus att det är naturligtvis en jätterisk att använda besökarens lösenord i cookien, även om det är en hash av den.

 

Vi vet inte vilken metod Yahoo använder för sina cookies, men ponera att någon skapat några hundra eller tusentals Yahoo-konton, gått igenom och analyserat kakorna som skapats och upptäckt att det kanske är så enkelt att dom bara sparar användarnamn i en hash. Då är det jätteenkelt att skapa falska kakor. Men tittar bara på e-postadressen man vill bryta sig in i skapar en hash av den som man sparar i sin webbläsare, sen är det bara att surfa in utan hinder.

 

Så, nej, det måste inte vara enklare att gissa sig till lösenord, för det kan vara en riktig tankevurpa i skapandet av dessa kakor som gör det rätt trivialt att skapa falska sådana.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Skapa ett nytt konto på vårt forum. Det är lätt!

Registrera ett nytt konto

Logga in

Redan medlem? Logga in här.

Logga in nu



×
×
  • Skapa nytt...