Как расшифровать Cookie Оперы? #657122

Зарегистрировался давно на одном сайте, пароль благополучно забыл. Опера цепляет автоматически, а как бы вытащить пароль из Cookie, чтобы зайти и с рабочего компа? Есть способы?

пароль из кук нельзя вытащить. а куки наверняка привяызваются к айпи

миста не хранит пароли в куках

даже не знаю, что ответить. Хорошо, наверное :)

мы даже на сервере пароли не храним

отлично. Осталось только узнать, как опера шифрует Cookie. да и вообще - зачем шифровать их, если они хранятся на компьютере пользователя

куки это не зашифрованный пароль, это просто гуид сессии

на сервере просто хранится: по это гуиду с этого айпи автоматом подставлять пользователя такогото

Подсказываю поисковый запрос - Как посмотреть сохраненные пароли в opera.

"Сами по себе cookies не могут делать ничего, это только лишь некоторая текстовая информация. Однако сервер может считывать содержащуюся в cookies информацию и на основании ее анализа совершать те или иные действия. Например, в случае авторизованного доступа к чему либо через WWW в cookies сохраняется login и password в течение сессии, что позволяет пользователю не вводить их снова при запросах каждого документа, защищенного паролем."

так никто не делает.

Вторая ссылка в яндексе.Тупо конечно.Я думал опера умнее.

Не знаю где ты это взял, но это полнейшая чушь. Т.е теоретически конечно никто не запретит записать в куки что угодно, тот же пароль, но это нафига это может кому то понадобиться???

В просто написано для дилетантов. В Cookie сохраняется уникальный идентификатор, по которому можно определить, что действие относится к определённому пользователю. В процессе авторизации при первом входе на сайт пользователь вводит login и подтверждает его паролем. Уникальный идентификатор сессии пользователю уже выдан в момент входа на сайт. При проверке login и пароль (конечно, если они правильные) система находит в своей базе номер пользователя и записывает в отдельную таблицу соответствие номера пользователя и идентификатора сессии. После этого, все действия в сессии, идентифицируемой через "печать", будут сделаны от имени пользователя, который авторизовался. Однако, бывает и автоматическое заполнение форм, когда браузер запоминает текст, который был введён в форму авторизации и в следующий раз просто подставляет его. В этом случае, в браузере хранятся все данные формы в том числе login и пароль - тогда их можно посмотреть в списке сохранённых данных.

Немного ликбеза в плане авторизации на сайте, и кукисов - 1)Регистрация. Когда ты регистрируешься на сайте, ты вводишь в браузер логин и пароль, и браузер пересылает их серверу. Сервер записывает себе в базу данных твое имя и хэш пароля, сам пароль тут же стирается из памяти. Хэш - это некоторое значение полученное путем математического преобразования пароля, и нет никакой обратной математической функции позволяющей получить из хеша  исходное значение, т.е это необратимое преобразование. 2)Авторизация. Ты открываешь в браузере сайт, вводишь в браузер логин и пароль, бразуер пересылает их серверу. Сервер применяет хэш функцию к присланному тобой паролю, т.е получает хэш, ищет в базе данных пользователя с таким именем и таким хэшем пароля. Если такой юзер присутствует в базе данных, то сервер считает что авторизация прошла успешно, и формирует идентификатор сессии - guid. guid это просто случайное или псевдослучайное число. Сервер записывает себе в базу данных - guid,  и время действия сессии, это как минимум, обычно еще записывают версию браузера, и твой айпишник. После чего guid записывается в файл и пересылается к тебе на компьютер. 3)Работа авторизированного пользователя. Ты открываешь сайт, браузер ищет кукис соответстующий этому сайту и отсылает на сервер с каждым твоим запросом, т.е при любой отправке информации на сайт, к этой информации обязательно прикрепляется твой кукис. Сервер читает из кукиса  guid и находит его в базе данных и продолжает работать с тобой как с авторизированным пользователем, т.е высылает тебе запрашиваемую информацию, показывает нужную страничку. Если сервер обнаруживает что время действия кукиса истекло, то тебя тут же перестают считать авторизированным пользователем и выбрасывают на страницу авторизации. Итак - попытаться достать из кукиса какую-то полезную информацию нет смысла, там не хранится никакой осмысленной информации. А вот браузер если запоминает пароль, то хранит его у себя в базе данных, в отличие от сервера. Именно пароль, а не его хэш, пусть и в зашифрованном виде. И как правило не составляет особой сложности обойти защиту и расшифровать пароль хранящийся в браузере. Так что кукисы тут совершенно не причем - нужен пароль, значит ломай собственный браузер.

опередил.

а вообще, в опере есть драгонфлай в средствах разработчика, там можно куки посмотреть. ну или тупо набрать document.cookie в консоли

Кстати, не всегда на сервере хранится hash от пароля - иногда хранится и сам пароль - хранение пароля позволяет использовать безопасную авторизацию, когда на клиента передаётся функция со случайными параметрами - на клиенте на основании этих параметров и введённого пользователем пароля вычисляется данная функция - значение передаётся на сервер, на сервере точно также вычисляется значение функции только используя сохранённый пароль - если результат совпадает с тем, что прислал клиент, то пользователь считается успешно авторизованным.

вот это мзданул...)) а что мешает?... (не обязательно в куках)

Конечно никто не запрещает хранить пароль. Администратор сайта волен поступать как ему вздумается. Но на нормальных, адекватных сайтах всегда хранится только хэш, и никогда не хранится пароль. Банально - ломанули сайт, и вуаля - все пароли пользователей у злоумышленников. А если хранится хэш - то у злоумышленников будут только хэши, а с хэшем не авторизируешься. Поэтому ни один нормальный админ не станет хранить пароли на сервере. А для безопасной авторизации используется https во всем мире. Т.е используется ассимметричное шифрование, и сначала идет обмен открытыми ключами, после чего поднимается шифрованное соединение, и уже по этому соединению  передается пароль.

+1

Причем тут сохраненные пароли?

При том, что в случае описанном в могут помочь только они. Иначе никак. Ну совсем никак.

а зачем нам ваши пароли? у нас соленые хеши.

Правило 4